취약성 주식 프로세스

취약성 주식 프로세스(VEP)는 미 연방정부가 제로 데이 컴퓨터 보안 취약점을 어떻게 처리해야 하는지, 일반 컴퓨터 보안 개선을 돕기 위해 이를 대중에게 공개할 것인지, 아니면 정부의 적국에 대한 공격적 사용을 위해 이를 비밀로 할 것인지에 대해 사례별로 판단하기 위해 사용하는 과정이다.리즈^[1]

VEP는 2008~2009년에 처음 개발되었으나, 2016년에야 정부가 전자 프론티어 재단의 FOIA 요청에 따라 수정된 버전의 VEP를 발표하면서 공개되었다.^[2]^[3]

섀도 브로커 사건 이후 투명성을 높여야 한다는 여론의 압박에 따라 미국 정부는 2017년 11월 VEP 과정을 더 공개하기도 했다.^[1]^[4]

참가자

2017년 발간된 VEP 계획에 따르면 ERB(Equities Review Board, ERB)는 VEP와 관련한 기관 간 심의 및 결정을 위한 1차 포럼이다.^[4] ERB는 매달 만나지만, 긴급한 요구가 발생할 경우 더 빨리 소집될 수도 있다.

ERB는 다음 기관의 대표로 구성된다.

관리 및 예산실
국가정보국장실(정보사회-안보조정센터 포함)
미국 재무부
미국 국무부
미국 법무부(연방수사국(Federal Bureau of Investigation, National Cyber Resurvey Joint Task Force 포함)
국토안보부(National Cyber Security and Communications Integration Center 및 미국 비밀경호국 포함)
미국 에너지부
미국 국방부(정보보호 및 신호 정보 요소를 포함한 국가안보국 포함), 미국 사이버 사령부 및 DoD 사이버 범죄 센터 포함)
미국 상무부
중앙정보국

국가안보국은 VEP의 집행 사무국 역할을 한다.^[4]

과정

2017년 11월판 VEP에 따르면 그 과정은 다음과 같다.

제출 및 통지

기관이 취약점을 발견하면 가능한 한 빨리 VEP 사무국에 통보한다. 통지서에는 취약성 정보와 취약성 제품 또는 시스템에 대한 설명과 함께 취약성 정보를 배포하거나 제한하라는 기관의 권고사항이 포함될 것이다.

사무국은 이후 업무일 기준 1일 이내에 모든 참가자에게 제출 사실을 통지하고, 관련 이해관계가 있으면 회신해 줄 것을 요청한다.^[4]

형평성 및 논의

관심을 표명하는 기관은 영업일 기준 5일 이내에 전파 또는 제한하라는 원래 권고에 동의하는지 여부를 표시해야 한다. 그렇지 않을 경우 영업일 7일 이내에 제출기관, VEP 사무국과 논의를 진행해 의견 일치를 꾀할 예정이다. 합의가 이루어지지 않을 경우, 참여자들은 주식심사위원회를 위한 선택권을 제안할 것이다.^[4]

확산 또는 제한 결정

취약성을 공개할 것인지 아니면 제한할 것인지의 결정은 모든 관련 기관과 충분히 협의하고 미국 정부의 임무의 경쟁적 이익에 대한 전반적인 최선의 이익을 위해 신속하게 이루어져야 한다. 가능한 한, 결정은 유병률, 의존도 및 심각도와 같은 요인을 고려하여 합리적이고 객관적인 방법론에 기초해야 한다.

심의위원들이 합의에 이르지 못할 경우 예비결정을 의결한다. 만약 지분을 가진 기관이 그 결정에 이의를 제기할 경우, 그들은 VEP 사무국에 통지함으로써 예비 결정에 이의를 제기하기로 선택할 수 있다. 예비판정을 경합하는 기관이 없을 경우 최종판결로 처리된다.^[4]

처리 및 후속 조치

취약성 정보가 공개되면 가능한 한 신속하게, 가급적 7영업일 이내에 이 작업을 수행할 수 있다.

취약점 공개는 전 회원이 합의한 가이드라인에 따라 진행된다. 제출 기관은 취약성에 대해 가장 잘 알고 있으며, 따라서 공급업체에 취약성 정보를 배포할 책임이 있다. 제출기관은 다른 기관에 전파책임을 대리하여 위임할 수 있다.

공개 기관은 공개 정보의 사본을 즉시 VEP 사무국에 제공하여 기록을 보관할 것이다. 또한, ERB가 벤더의 조치가 정부 요건을 충족하는지 여부를 판단할 수 있도록 출시 기관은 후속 조치를 취할 것으로 예상된다. 벤더가 취약성을 해결하지 않기로 하거나 취약성의 위험에 부합하는 긴급한 조치를 취하지 않는 경우, 해제 기관은 사무국에 통보하고, 정부는 다른 완화 조치를 취할 수 있다.^[4]

비판

VEP 과정은 공개되지 않은 협정에 의한 제한, 위험 등급의 결여, NSA에 대한 특별 대우, 그리고 공개에 대한 전심적인 약속 미만을 디폴트 옵션으로 삼는 등 여러 가지 결함으로 인해 비판을 받아왔다.^[5]

참조

^ ^a ^b Newman, Lily Hay (November 15, 2017). "Feds Explain Their Software Bug Stash—But Don't Erase Concerns". WIRED. Retrieved November 16, 2017.
^ Electronic Privacy Information Center. "Vulnerabilities Equities Process". epic.org. Retrieved November 16, 2017.
^ "Vulnerabilities Equities Process (VEP)". Electronic Frontier Foundation. January 18, 2016. Retrieved November 16, 2017.
^ ^a ^b ^c ^d ^e ^f ^g "Vulnerabilities Equities Policy and Process for the United States Government" (PDF). whitehouse.gov. November 15, 2017. Retrieved November 16, 2017 – via National Archives.
^ McCarthy, Kieren (November 15, 2017). "The four problems with the US government's latest rulebook on security bug disclosures". The Register. Retrieved November 16, 2017.

참고 항목

이 미국 정부 관련 기사는 단조롭다. 위키피디아를 확장하여 도울 수 있다.

이 컴퓨터 보안 기사는 엉터리야. 위키피디아를 확장하여 도울 수 있다.

[newman2017-1] Newman, Lily Hay (November 15, 2017). "Feds Explain Their Software Bug Stash—But Don't Erase Concerns". WIRED. Retrieved November 16, 2017.

[2] Electronic Privacy Information Center. "Vulnerabilities Equities Process". epic.org. Retrieved November 16, 2017.

[3] "Vulnerabilities Equities Process (VEP)". Electronic Frontier Foundation. January 18, 2016. Retrieved November 16, 2017.

[VEP2017-4] ^ ^a ^b ^c ^d ^e ^f ^g "Vulnerabilities Equities Policy and Process for the United States Government" (PDF). whitehouse.gov. November 15, 2017. Retrieved November 16, 2017 – via National Archives.

[5] McCarthy, Kieren (November 15, 2017). "The four problems with the US government's latest rulebook on security bug disclosures". The Register. Retrieved November 16, 2017.

[1]

[2]

[3]

[4]

[5]

Search