시만텍 취약점 대응 지침

소개

시만텍은 신속하고 주도면밀하게 시만텍 제품의 보안 취약점을 해결하기 위해 최선을 다하고 있습니다. 시만텍은 고객 리스크 최소화에 필요한 조치를 취하고 시기적절한 정보를 제공하며 시만텍 소프트웨어의 보안 위협 해결에 필요한 취약점 수정 및 완화 프로그램을 제공합니다.

OIS(Organization for Internet Safety)의 설립 멤버이기도 한 시만텍은 시만텍 제품에 대한 외부 신고 취약점과 관련하여 OIS에 의해 개발되어 ISO 29417에 기술된 책임 있는 공개 지침을 철저히 준수합니다. 이 지침은 발견자와 벤더의 개방적인 소통을 장려하고 당사자 간의 책임을 명확히 하며 개인, 기업, 인터넷 인프라스트럭처를 취약점 익스플로잇으로부터 최대한 보호합니다. 시만텍은 시만텍에 취약점을 알리는 연구자와 긴밀하게 협력하며 책임 있는 공개 지침을 준수하는 발견자를 신뢰합니다.

보안 취약점 신고 방법

시만텍 제품, 클라우드 서비스 또는 IT 인프라스트럭처에서 아직 해결되지 않은 취약점을 발견했다고 생각되면 아래 이메일 주소를 통해 시만텍에 문의해 주십시오.

  • 시만텍 온프레미스 제품에 대한 취약점은 시만텍 제품 보안 침해 사고 대응 팀(Product Security Incident Response Team, PSIRT)(secure@symantec.com)으로 신고해 주십시오.
  • 시만텍 클라우드 서비스 및 IT 인프라스트럭처에 대한 취약점은 시만텍 GSO 보안 운영 센터(Security Operations Center, SOC)(security@symantec.com)로 신고해 주십시오.

신속한 확인이 이루어질 수 있도록 시만텍에 처음 연락하실 때 아래 정보를 포함해 주십시오.

  • 제품 이름 및 버전 번호 또는 서비스 이름
  • 취약점을 관찰한 날짜
  • 취약점에 대한 설명
  • 취약점 재연 지침(기술 검증 활동(POC)을 상세히 알려주는 단계 기술, 동영상 또는 스크린 캡처 모음)
  • 귀하의 이름 및 소속 회사(해당되는 경우)
  • 기본 연락처 정보(이메일, 전화, 익명 요청)
  • 암호화된 통신을 위한 PGP 또는 GPG 공개 키(사용 가능한 경우)

시만텍 PSIRT 팀은 업무일 기준 3일 내에 귀하의 신고를 접수했음을 확인해 드립니다. 시만텍 내부 팀과 함께 리포트 내용을 확인한 다음 시기적절하게 새로운 소식을 전하거나 추가 정보를 요청하는 회신을 드리겠습니다.

PGP 키 세부 정보

발견자는 취약점 신고의 기밀 보호를 위해 암호화된 통신 채널을 사용하는 것이 좋습니다. 아래 링크에서 PGP 공개 키를 제공합니다.

symantec.com 보안용 PSIRT PGP 키

참고: 시만텍은 PGP 및 GPG를 사용하여 귀하와 암호화된 이메일을 주고받을 수 있습니다.

취약점 완화 및 제거

신고 내용이 타당한 것으로 확인된 경우 시만텍은 해당 제품 또는 서비스의 유형, 심각도, 수에 따라 문제를 제거하거나 완화할 방법을 제공합니다. 시만텍 PSIRT 팀은 문제가 완전히 해결될 때까지 취약점 신고자에게 현재 진행 상황을 알립니다.

추가 정보 및 책임 있는 공개

시만텍 직원이 업무 수행 과정에서 다른 벤더 제품의 취약점을 발견할 수도 있습니다. 시만텍은 해당 벤더와 취약점을 해결하기 위해 책임 있는 공개 지침을 따릅니다. 시만텍의 목표는 보안 연구 커뮤니티를 지원하고 책임을 다하는 멤버가 되는 것입니다. 시만텍은 시만텍을 대신하여 취약점을 발견한 분들의 노고에 감사드립니다. 아울러 광범위한 기술 분야에 종사하는 모든 관계자에게 전문적인 협업 환경을 보장하기 위해 보다 폭넓은 보안 커뮤니티의 구성원들과 개방적인 채널을 통해 소통하는 것을 목표로 삼고 있습니다.

결론

보안 기술 시장의 선두 주자인 시만텍은 시만텍 소프트웨어에서 발견되는 보안 취약점을 해결하기 위해 최선을 다하고 있습니다. 시만텍은 발견자와 함께 모든 보안 문제를 검토, 검증하고 완화 조치를 취하며 고객이 안심할 수 있도록 책임 있는 공개 지침을 따릅니다.