구글 프로젝트 제로팀이 최근 취약점 공개 정책 수정내용을 발표했다.
주된 내용은 위협 행위자의 악용 전에 최종 사용자에게 충분한 취약점 패치 시간을 제공하기 위해 일부 버그를 대상으로 공개 프로세스에 30일을 추가할 수 있다는 것이다.
현재까지 구글 프로젝트 제로의 취약점 공개 정책은 IT 및 소프트웨어 공급 업체가 솔루션에 영향을 미치는 버그를 해결하는데 90일을 제공했으며, 벤더사가 90일 내에 버그를 수정하지 못했더라도 기술 세부 사항을 공개했다.
구글은 게시물을 통해 “2021 정책 업데이트의 목표는 패치 채택 일정을 취약점 공개 정책의 일부로 만드는 것이다. 공급 업체에 패치 개발 90일, 패치 채택에 추가적인 30일이 주어진다. 이 90+30 정책은 60+30 정책 또는 이와 유사한 정책으로 곧바로 전환하는 것이 너무 갑작스러울 수 있기 때문에, 벤더사에 현재보다 더 많은 시간을 제공하기 위함이다. 공급 업체가 시작점을 선택한 다음 패치 개발 및 패치 채택 일정을 점차 낮추는 것을 목표로 한다”고 말했다.
지금부터 프로젝트 제로팀은 취약점 기술 세부 사항을 게시하기 전에 추가로 30일을 기다릴 것이라고 발표했다. 또한 벤더사는 활발히 악용된 취약점에 대해서는 3일을 더 요청할 수 있다.
또한 2022년에는 84+28 모델을 채택할 계획이다. 기한을 7로 균등하게 나누면 주말에 마감일이 떨어질 가능성이 크게 줄어들기 때문이다.
이 팀은 포스트를 통해 “90+30 모델로 전환하면 패치 적용 시간에서 패치 시간을 분리하고, 공격자·방어자 트레이드 오프 및 기술 세부 사항 공유에 대한 논쟁을 줄이면서 엔드 유저들이 공격에 노출된 시간을 감소시킬 수 있다”고 말했다.
■ 상반기 최대 개인정보보호&정보보안 컨퍼런스 G-PRIVACY 2021 온라인 개최
-주최: 데일리시큐
-후원: 개인정보보호위원회·한국인터넷진흥원·한국정보보호산업협회
-2021년 4월 28일~29일 온라인
-2일 참가시 14시간 보안교육 이수
-공공·금융·기업 보안실무자 1,500명 이상 참석
-최신 국내·외 보안솔루션 사이버 전시관 개최
-사전등록: 클릭
★정보보안 대표 미디어 데일리시큐!★