It looks like you are visiting from a different region. Select your country or region for location-specific content.
Go to Ireland

책임 공개 정책

ASSA ABLOY 그룹은 취약점 공개가 자사 제품 및 서비스의 품질 향상, 이를 사용하는 고객의 안전 확보, 그리고 고객이 자신의 이해에 부합하는 선택을 할 수 있도록 인식을 제고하는 데 필수적이라고 믿습니다.
ASSA ABLOY는 보안 연구 커뮤니티로부터 얻는 통찰을 소중히 여기며, 해당 커뮤니티와의 정보 공유 및 협업을 환영합니다.

ASSA ABLOY는 보안 솔루션의 취약점을 발견하고, 이를 정당하고 성실한 방식으로 비공개 보고할 수 있는 체계를 제공함으로써, 세상을 보다 안전한 곳으로 만들기 위해 헌신하는 보안 연구자 및 취약점 조사자들의 노력과 전문성을 높이 평가합니다.

책임 공개는 보안 접근 인프라가 철저히 검증되고 신뢰할 수 있음을 보장하는 중요한 과정입니다. 또한, 취약점 완화에 대한 ASSA ABLOY의 지속적인 노력은 고객과 보안 업계 전반에 신뢰를 주는 요소입니다.

다음은 ASSA ABLOY 그룹의 책임 공개 정책입니다:

  • ASSA ABLOY는 자사 및 고객의 보호를 고려한 방식으로 알려진 취약점과 그에 대한 수정 사항을 고객에게 공개할 것입니다. 공개 시, 최초로 취약점을 보고한 이가 요청하지 않는 한, 해당 공로는 문서에 명시하여 인정합니다.

  • ASSA ABLOY는 보안 향상이라는 공동의 목표를 가진 보안 연구자들과의 소통 및 협업을 중요하게 생각합니다. 취약점과 이를 해결하는 방안을 함께 포함하는 정보의 배포를 조율하기 위한 협력을 환영합니다.

  • ASSA ABLOY는 유효한 취약점 정보를 비공개로 제공하고, 이를 해결하기 위한 패치 또는 수정 사항이 개발되어 충분히 테스트된 이후, 공개 일정을 조율하는 데 협력한 보안 연구자의 기여를 공식 보안 권고문(advisory)을 통해 공적으로 인정할 것입니다. 이때 공개 시점은 해결책이 효과적으로 배포 가능하도록 충분한 시간 내에서 조율됩니다.

  • 보안 연구자는 ASSA ABLOY 그룹의 보안 권고문에 대한 링크를 본인의 웹사이트에 게시할 수 있으며, 이는 공익을 위한 리스크 최소화와 최종 사용자가 스스로를 보호할 수 있도록 돕는 공로로 인정됩니다.

우리는 보안 연구자 커뮤니티가 ASSA ABLOY 그룹과 협력하여 취약점의 공개를 조율해 주기를 요청합니다.
ASSA ABLOY에 사전 통보 없이 취약점을 공개하는 것은 조직에 피해를 줄 수 있으며, 민감한 정보가 노출되어 사람과 조직이 악의적인 공격에 노출될 위험을 초래할 수 있습니다.

이러한 이유로 ASSA ABLOY는 2단계 절차를 강력히 권장합니다: 첫 번째 단계로, 잠재적인 취약점을 ASSA ABLOY에 비공개로 보고하고, 해당 취약점이 검증 및 해결된 후, ASSA ABLOY와 고객이 이를 배포할 수 있도록 합리적인 시간을 제공한 뒤, ASSA ABLOY가 공개 공지를 조율하며, 이 과정에서 보안 연구자의 발견을 인정하고, 해당 연구자에게 공로를 부여합니다. 또한 연구자들에게 보고된 취약점에 대한 조사, 검증 및 수정 작업은 복잡성과 심각도에 따라 달라질 수 있음을 인식해 주시기 바랍니다.
ASSA ABLOY는 예상 일정을 커뮤니케이션하고, 변경 사항을 안내하며, 가능한 경우 협력할 것입니다. 추가로, 연구자들이 서비스 거부 공격(DoS) 기법을 수행하거나, ASSA ABLOY의 사용자 인프라나 개인정보를 침해하지 않도록 요청드립니다.

ASSA ABLOY는 다른 선도적인 기업들처럼, 취약점의 조율된 공개에 대해 업계 최고의 모범 사례를 적용하여 보안 생태계를 보호하고, 고객이 최고 품질의 정보를 받을 수 있도록 보장하며, 제품, 프로토콜, 방법론, 표준 및 솔루션을 개선하기 위한 공론화를 촉진하고 있습니다.

행동 촉구

취약점을 발견하셨다고 생각되시면, ASSA ABLOY 그룹 제품 보안 센터(이메일: productsecurity@assaabloy.com)에 비공개로 신고해 주시기 바랍니다.

이메일은 PGP로 암호화하시고, 이 공개 키를 사용해 주시기 바랍니다.

가능한 경우, 아래 정보를 이메일 신고에 포함해 주시기 바랍니다:

  • 연락처 정보 (예: Signal, WhatsApp 또는 기타 커뮤니케이션 계정)

  • 회사 이름

  • 선호하는 이메일 연락처

  • 취약점에 대한 일반적인 설명

  • 취약점이 포함된 제품 (하드웨어 및 소프트웨어 버전), 부품 번호

  • 이벤트를 발생시키기 위해 필요한 도구, 하드웨어 및 기타 구성 요소

  • 적용된 보안 또는 서비스 팩 업데이트

  • 이벤트를 재현하기 위한 문서 지침

  • 샘플 코드, 개념 증명(Proof of Concept) 또는 이벤트를 생성하는 데 사용된 실행 파일

  • 취약점이 사용자의 시스템에 미치는 영향, 특히 공격자가 현장에서 보안을 침해할 수 있는 방법에 대한 정의

  • 영향을 받는 제품

  • 시스템 세부 사항 (ASSA ABLOY 그룹 제품 범위에 대해 개발)

  • 기술적 설명 및 재현 단계

  • PoC(링크)

  • 관련된 다른 당사자 및 제품

  • 공개 계획/날짜/주요 이유

  • 취약점을 발견할 당시 수행된 연구의 목적과 범위 (상황 설명)