Report Product Security Vulnerabilities

취약성 관리

NXP 제품 시큐리티 사고 대응팀(PSIRT)은 NXP 제품에 대해서 보고된 시큐리티 취약성에 대응합니다. PSIRT는 시큐리티 커뮤니티 회원들이나 고객들과 협력하여 NXP 제품에 영향을 미치는 시큐리티 취약성을 문서화하고 철저한 솔루션을 처방합니다. NXP는 당사 고객에게 피해가 되는 시큐리티 취약성을 신속히 처리하고, 솔루션, 영향, 심각성, 피해 완화에 대해 분명한 가이드를 제공하기 위해 최선을 다하고 있습니다.

잠재적 시큐리티 취약성 보고

만약 NXP 제품에서 잠재적인 시큐리티 취약성이 발견되면, PSIRT에게 이메일psirt@nxp.com로 알려주시기 바랍니다. NXP에서는 24시간 내에 최대한 신속하게 수신확인서를 보내드립니다. 주말이나 휴일에는 초시급을 다투는 상황이 아닐 경우 72시간 내에 보내드립니다. 이 시간 내에 회신이 없으면 메시지를 다시 보내주십시오. 보내주실 때는 다음 내용을 꼭 기재해 주셔야 합니다:

  • 해당 제품 및 버전
  • 해당 취약성에 대한 상세한 설명
  • 확인된 취약성 공격에 대한 정보

취약성 정보는 매우 민감한 정보입니다. PSIRT는 NXP로 보내진 모든 시큐리티 취약성 보고를 PSIRT PGP/GPG 키를 사용하여 암호화할 것을 권장합니다.

PGP / GPG key

  • Fingerprint: B7C9 5E6D CA57 3706 EA6C 6E2E A85D 0C62 3BC0 6810
  • PGP / GPG 키:

Software to PGP/GPG 암호 메시지 소프트웨어 제공처:

PSIRT가 처리 가능한 시큐리티 사건의 범위

다음 사례들은 PSIRT의 처리 범위에 해당됩니다:

  • NXP 제픔의 시큐리티 사고 (하드웨어 또는 소프트웨어).
  • 시큐리티 정보나 권장사항 관련 NXP 문서(데이터시트, 애플리케이션 노트 등)의 오류.
  • 시큐리티에 민감한 NXP 문서나 NXP 시큐리티 관련 정보가 지정되지 않은 장소에서 발견된 경우.
  • 시큐리티에 민감한 NXP 제품이 지정되지 않은 장소에서 발견된 경우.

취약성 처리 절차

NXP 제품의 시큐ㅣ리티 취약성은 다음과 같은 절차에 따라 철저히 관리되고 있습니다. 대응 시간은 이슈의 범위에 따라 다릅니다. 대응 절차는 다음과 같이 크게 4단계로 구성되어 있습니다:

보고: 대응 절차는 PSIRT가 NXP 제품의 잠재적 시큐리티 취약성에 대해 인식했을 때부터 시작됩니다. 보고자는 수신 확인을 받은 후 처리 절차 전반에 걸쳐 지속적으로 진행 상황을 받습니다.

평가: PSIRT는 잠재적 취약성을 확인하고 리스크를 평가하며, 어떤 영향을 미치는지를 판단하고 처리 우선순위를 정합니다. 취약성이 확인되면, 우선순위에 따라 남아 있는 절차를 떻게 처리할지 결정합니다.

솔루션: 제품팀은 PSIRT와 렵력하면서 보고된 시큐리티 취약성을 완화시킬 솔루션을 개발합니다. Solutions will take different forms based on the vulnerability. 대개 펌웨어가 ROM에 저장된 실리콘 제품인 NXP 제품의 특성상, 솔루션은 차기 칩 버전에서 제공될 가능성이 크며, 단기 솔루션은 NXP 제품이 채용된 시스템에 적용되는 권장 보안 조치들로 구성됩니다.

의사소통: 상기에 언급한 대로, NXP 제품의 특성상 시큐리티 취약성에 노출된 제품들이 사용된 시스템에 대한 솔루션은 해당 시스템 내의 추가적 대응 조치와 연동할 필요가 있습니다. 취약성과 솔루션에 대한 의사소통은 대개 고객에게 직접 연락합니다. 사전에 알려지지 않았거나 보고되지 않은 이슈에 대해서는 NXP가 이슈 보고자에게 확인합니다(보고자가 직접 요청하지 않는 한).

책임 공개

NXP는 취약성 보고자의 책임 공개를 돕기 위해 보고자와 최대한 협력합니다. NXP 제품의 현장 업그레이드 / 패치 작업은 PC 등의 경우와는 확연히 다릅니다. NXP의 제품은 임베디드 소프트웨어가 설치된 칩으로, 시스템에 포함되어 배치되며 이미 현장 설치된 경우에는 업데이트가 거의 또는 전혀 불가능합니다.

따라서, 책임 공개는 시간이 더 오래 걸리기도 하고 공개되는 정보도 제한적입니다(익명에 의한 공개, 공격받은 제품에 대해서는 공개하지 않고 공격의 기술적 정보만 공개하는 등). 이는 보고자의 공개에 의해 NXP 고객의 시스템이 피해를 입기 전에, 고객이 해당 취약성을 마이그레이션하거나 완화할 수 있도록 배려하기 위함입니다.

미디어

NXP 제품의 시큐리티에 대하여 NXP와 접촉을 원하는 언론 관련자는 웹사이트를 방문하시기 바랍니다. http://media.nxp.com