§4.1.1 정책
Categories:
1. 조항 개요
§4.1.1은 ISO/IEC 5230 §3.1.1(라이선스 컴플라이언스 정책)과 대응하는 조항이지만, 초점이 보안 보증으로 전환된다. 오픈소스 컴포넌트의 알려진 취약점과 새로 발견되는 취약점을 체계적으로 관리하는 정책이 문서화되어 있어야 하며, 그 정책이 조직 내부에 전파되어야 한다. ISO/IEC 5230 §3.1.1과의 핵심 차이점은 정책과 전파 절차 자체에 대한 정기 검토 프로세스를 요구한다는 점이다. 정책을 수립하는 것에 그치지 않고, 정책이 항상 유효하고 최신 상태를 유지하도록 검토 체계를 갖추어야 한다.
2. 해야 할 활동
- 공급 소프트웨어에 포함된 오픈소스 컴포넌트의 보안 취약점을 관리하는 정책을 문서화하고 공식화한다.
- 정책에 취약점 탐지·평가·대응·통보 원칙과 CVD(Coordinated Vulnerability Disclosure) 방침을 포함한다.
- 프로그램 참여자(개발자·보안 담당·법무·IT 등)에게 정책을 전파하는 절차를 수립하고 문서화한다.
- 정책과 전파 절차 자체를 정기적으로 검토하여 최신 상태를 유지하는 검토 프로세스를 정책 내에 명시한다.
- 검토 완료 일자, 검토자, 변경 이력을 문서에 기록한다.
3. 요구사항 및 입증자료
| 조항 번호 | 요구사항 (KO) | 입증자료 |
|---|---|---|
| §4.1.1 | 배포용 소프트웨어의 오픈소스 소프트웨어 보안 보증을 관리하는 문서화된 오픈소스 정책이 있어야 한다. 이 정책은 조직 내부에 전파되어야 한다. 정책과 전달 방법은 항상 유효하고 최신 상태를 유지하기 위한 검토 프로세스를 가져야 한다. | 4.1.1.1 문서화된 오픈소스 소프트웨어 보안 보증 정책 4.1.1.2 프로그램 참여자가 보안 보증 정책을 인식하도록 하기 위한 문서화된 절차 |
영문 원문 보기
§4.1.1 Policy A written open source software security assurance policy shall exist that governs open source software security assurance of the supplied software. The policy shall be internally communicated. The policy and its method of communication shall have a review process to ensure they remain current and valid.
Verification Material(s): 4.1.1.1 A documented open source software security assurance policy. 4.1.1.2 A documented procedure that makes program participants aware of the security assurance policy.
4. 입증자료별 준수 방법 및 샘플
4.1.1.1 문서화된 보안 보증 정책
준수 방법
ISO/IEC 5230의 오픈소스 정책을 이미 보유한 경우, 해당 정책에 보안 보증 관련 섹션을 추가하거나 별도 보안 보증 정책 문서를 작성하는 두 가지 방법을 선택할 수 있다. 두 방법 모두 입증자료 4.1.1.1을 충족한다.
정책에는 ①보안 취약점 식별·추적·대응 원칙, ②CVSS 기반 위험 평가 및 조치 기한 기준, ③CVD(Coordinated Vulnerability Disclosure) 방침, ④배포 후 모니터링 원칙, ⑤정기 검토 주기와 검토자가 포함되어야 한다. ISO/IEC 5230 §3.1.1.1과의 핵심 차이는 정기 검토 프로세스를 정책 문서 안에 명시해야 한다는 점이다.
고려사항
- 5230 정책과 통합: 기존 ISO/IEC 5230 정책의 §5 보안 취약점 대응 섹션을 확장하는 방식으로 통합 관리할 수 있다.
- 검토 주기 명시: 최소 연 1회 정기 검토를 수행하며, 새로운 위협 환경이나 법적 요건 변화 시 즉시 검토한다는 조항을 포함한다.
- CVSS 기준 채택: 취약점 심각도 평가에 CVSS(Common Vulnerability Scoring System)를 활용하고 조치 기한(예: Critical 7일, High 30일)을 정책에 명시한다.
- CVD 방침 포함: 외부에서 취약점이 보고되었을 때 비공개로 협력하여 해결한 후 공개하는 CVD 절차를 정책에 포함한다.
- 버전 관리: 정책 버전 번호, 변경 이력, 검토 완료 날짜를 기록한다.
샘플
아래는 오픈소스 정책의 보안 보증 섹션 샘플이다.
## §5 오픈소스 보안 보증
### 5.1 목적
회사는 공급 소프트웨어에 포함된 오픈소스 컴포넌트의 보안 취약점을
체계적으로 식별하고 대응하여 보안 위험을 최소화한다.
### 5.2 취약점 대응 원칙
알려진 취약점(CVE)에 대한 조치 기한 기준은 다음과 같다:
- Critical (CVSS 9.0~10.0): 7일 이내 패치 또는 완화 조치
- High (CVSS 7.0~8.9): 30일 이내 패치 또는 완화 조치
- Medium (CVSS 4.0~6.9): 90일 이내 패치 계획 수립
- Low (CVSS 0.1~3.9): 다음 정기 업데이트 시 처리
### 5.3 CVD(Coordinated Vulnerability Disclosure) 방침
외부에서 취약점이 보고된 경우 보고자와 협력하여 해결 후 공개한다.
취약점 보고 채널: security@company.com
### 5.4 정책 검토
이 정책과 전파 절차는 최소 연 1회 검토하며 최신 상태를 유지한다.
검토 완료 날짜와 검토자를 문서에 기록한다.
4.1.1.2 보안 보증 정책 인식 방법 문서화
준수 방법
ISO/IEC 5230의 정책 전파 절차(§3.1.1.2)와 동일한 방식으로 보안 보증 정책을 프로그램 참여자에게 전파하는 절차를 문서화해야 한다. §4.1.1의 추가 요건은 전파 절차 자체도 정기적으로 검토하여 유효성을 유지해야 한다는 점이다. 기존 5230 정책 전파 절차에 보안 보증 정책 내용을 추가하거나, 별도 보안 정책 전파 절차를 수립하는 방식으로 대응할 수 있다.
고려사항
- 5230 절차 재활용: 기존 오픈소스 정책 전파 채널(온보딩, 사내 위키, 이메일)에 보안 보증 정책을 추가하는 방식으로 효율적으로 대응한다.
- 전파 절차 검토: 전파 절차 문서에 검토 주기(연 1회)와 검토자를 명시하여 절차 자체의 유효성을 관리한다.
- 증거 보관: 공지 이력, 교육 이수 기록을 최소 3년간 보관한다.
샘플
제목: [보안] 오픈소스 보안 보증 정책 안내 및 숙지 요청
수신: 전체 개발/배포/보안 관련 임직원
발신: 오픈소스 프로그램 매니저
안녕하세요.
당사 오픈소스 보안 보증 정책이 제정(또는 개정)되었습니다.
아래 링크의 정책 문서를 확인하고 숙지해 주시기 바랍니다.
- 정책 문서: [사내 포털 링크]
- 주요 내용: 취약점 대응 원칙, CVSS 기반 조치 기한, CVD 방침
- 정책 버전: v1.0 (시행일: YYYY-MM-DD) / 차기 검토 예정: YYYY-MM-DD
문의: 오픈소스 프로그램 매니저 (oss@company.com)
5. 참고
- 대응 ISO/IEC 5230 조항: §3.1.1 정책
- 관련 가이드: 기업 오픈소스 관리 가이드 — 2. 정책
- 관련 템플릿: 오픈소스 정책 템플릿