Product
Security

NVIDIA는 보안 문제를 심각하게 생각하며 이를 빠르게 평가하여 해결하기 위해 노력하고 있습니다. 보안 문제가 보고되면 NVIDIA에서는 문제를 분석 및 검증하고 해결을 위한 수정 조치를 제공하기 위해 적합한 리소스를 투입합니다.

NVIDIA PSIRT – 취약점 관리

NVIDIA PSIRT(제품 보안 사고 대응 팀)의 목표는 제품의 취약점에 대한 정보, 지침 및 해결책을 적시에 제공하여 보안 취약점과 관련된 고객의 위험을 최소화하는 것입니다. NVIDIA PSIRT는 NVIDIA 제품과 관련된 보안 취약점 정보의 수신, 조사, 내부 조정, 해결 및 공개를 관리하는 글로벌 팀입니다.


NVIDIA PSIRT 팀의 핵심 책무 중 하나는 외부적으로 식별된 모든 NVIDIA 제품 취약점에 대한 대응 및 공개를 조정하는 것입니다.

잠재적 보안 취약점 보고

NVIDIA는 독립 조사자, 업계 조직, 공급업체, 고객 및 기타 소스에서 제공하는 제품 보안에 관한 보고서를 환영합니다.

잠재적 취약점을 보고하는 방법에 대한 자세한 내용은 취약점 보고 페이지에서 참조하세요.

조정된 취약점 공개

NVIDIA는 CVD(조정된 취약점 공개)를 준수하기 위해 노력하고 있습니다. CVD는 당사 제품의 취약점을 발견한 독립적인 보고자가 정보를 대중에게 공개하기 전에 직접 NVIDIA에 연락해 해당 취약점을 조사 및 해결할 기회를 제공하는 프로세스입니다.

NVIDIA PSIRT는 취약점 조사 과정 전반에 걸쳐 보고자와 협력하며 적합한 경우 보고자에게 진행 상황에 대한 업데이트를 제공합니다. 보고자의 동의가 있을 경우 NVIDIA PSIRT는 유효한 제품 취약점을 발견하고 문제를 비공개적으로 보고한 것에 대해 승인 페이지에서 보고자의 노력에 인정과 감사의 뜻을 표할 수 있습니다. NVIDIA가 업데이트 또는 완화 정보를 공개적으로 발표하면 보고자가 취약점에 대해 공개적으로 논의할 수 있습니다.

NVIDIA의 CVD를 준수하면 고객을 보호하는 동시에 대중 대상 공개를 조정하고 보고자의 발견에 대해 적합한 인정과 감사의 뜻을 표할 수 있습니다.

보고된 취약점에 공급업체 제품이 포함되는 경우 NVIDIA PSIRT가 해당 공급업체에 직접 알리거나 보고자와 협력하거나 타사 조정 센터에 참여하게 됩니다.

NVIDIA 승인

현재 NVIDIA에는 버그 현상금 프로그램이 없지만, 외부에서 보고된 보안 문제가 NVIDIA의 조정된 취약점 공개 정책에 따라 처리될 경우에는 승인 내용을 제공합니다.

  • 고객이 수정 파일을 다운로드해야 하는 NVIDIA 제품 코드 문제를 해결할 경우 해당 문제에는 CVE 넘버가 부여됩니다. 또한 NVIDIA는 보안 게시판 내의 문제에 대해서도 승인을 합니다.
  • 고객이 보호를 위해 수정 파일을 다운로드하지 않아도 되는 NVIDIA 클라우드 서비스에서 해결된 보안 문제의 경우에는 NVIDIA의 승인 웹사이트에서 언급합니다. PSIRT는 사례별로 판단을 내릴 권한을 보유합니다.

보안 게시판 및 업데이트 구독

게시된 보안 게시판 목록은 NVIDIA 보안 게시판 페이지에서 확인할 수 있습니다.

최초 릴리스 또는 NVIDIA 보안 게시판의 주요 개정 사항에 대한 최신 정보를 계속 받아보려면 NVIDIA 보안 게시판 알림을 구독하실 것을 강력히 권장합니다.

알림은 여기에서 구독하실 수 있습니다.

NVIDIA 보안 게시판에 대한 자세한 내용은 본 문서의  보안 게시판 섹션을 참조하세요.

NVIDIA 보안 취약점 정보에 관한 미디어 또는 PR 문의

여기에 열거된 기업 커뮤니케이션 연락처 중 하나로 연락하세요.

NVIDIA PSIRT 취약점 관리 프로세스

다음 그림은 NVIDIA PSIRT 프로세스를 개략적으로 보여줍니다.

그림 1. NVIDIA 제품 보안 사고 대응 팀 프로세스

policies-image-400

CVSS(일반 취약점 채점 체계)를 이용한 보안 위험 평가

NVIDIA는 현재 CVSS v3.1(일반 취약점 채점 체계 버전 3.1)을 이용하여 식별된 취약점의 심각도 수준을 평가하고 있습니다. CVSS는 취약점의 특징과 영향을 전달할 수 있도록 일반적인 채점 방법과 일반적인 언어를 지원합니다. CVSS는 취약점이 어느 정도의 우려를 야기하는지에 대한 척도를 확립하고자 시도하고 있습니다. CVSS 모델은 각각 지표 집합으로 구성되는 기본, 시간 및 환경 계산을 포함한 세 가지의 서로 다른 측정 또는 채점 방식을 사용합니다. FIRST(사고 대응 및 보안 팀 포럼)에서 유지 관리하고 있는 전체 표준은  https://www.first.org/cvss에서 확인하실 수 있습니다.

NVIDIA는 CVSS v3.1 사양 문서 정성적 심각도 등급(https://www.first.org/cvss/specification-document)에 따라 아래 표에서 볼 수 있듯이 심각도 등급을 정의합니다.

보안 영향 등급 CVSS 점수
매우 높음 9.0~10.0
높음 7.0~8.9
중간 4.0~6.9
낮음 0.1~3.9
없음 0.0

CVSS 점수에 추가적인 요인이 적합하게 포착되지 않았다면 NVIDIA는 특정한 경우 이러한 지침을 따르지 않을 권리가 있습니다.

해당하는 경우, NVIDIA 보안 게시판에서는 CVSS v3.1 기본 점수를 제공하게 됩니다. NVIDIA는 고객에게 가장 많은 가치를 제공하고 취약점의 본질적인 특성을 나타내는 기본 메트릭 그룹에만 중점을 둡니다. NVIDIA의 위험 평가는 설치된 다양한 시스템 세트 전반의 평균 위험을 기반으로 하며 로컬 설치의 실제 위험을 나타내지 않을 수도 있습니다.

NVIDIA는 보안 또는 IT 전문가와의 상담을 통해 특정 구성의 위험을 평가할 것을 권장하며, 네트워크 매개변수를 바탕으로 환경 점수를 산출하는 것이 좋습니다. NVIDIA는 모든 고객이 기본 점수는 물론 모든 시간 및/또는 고객의 환경과 관련이 있을 수 있는 환경 점수를 고려하여 전체 위험을 평가할 것을 권장합니다. 이 전체 점수는 특정한 시점을 나타내며 특정 환경에 적합하게 맞춤화됩니다. 사용자 본인 환경에서 대응 우선순위를 지정하려면 해당 문제 및 이 최종 점수에 대한 보안 또는 IT 전문가의 평가를 사용해야 합니다.

취약점 전달 정책

NVIDIA는 적합한 통신 계획을 결정하기 위해 타사가 아닌 소프트웨어 취약점에 대한 다음 지침을 사용합니다.

보안 영향 등급 CVSS 점수 커뮤니케이션 계획
매우 높음 9.0~10.0 NVIDIA 보안 게시판
높음 7.0~8.9
중간 4.0~6.9
낮음 3.9 이하 제품 릴리스 정보

NVIDIA 제품에 사용되는 타사 소프트웨어 구성 요소에 보안 문제가 있다면 NVIDIA는 보안 게시판을 게시할 수 있습니다. 타사 소프트웨어 구성 요소 취약점에 대한 보안 게시판이 게시되는 경우 NVIDIA에서는 일반적으로 해당 구성 요소 제작자가 제공한 CVSS 점수를 사용합니다. NVIDIA가 NVIDIA 제품에 미치는 영향을 반영하여 CVSS 점수를 조정하는 경우도 있습니다.

CVSS 점수에 추가적인 요인이 적합하게 포착되지 않았다면 NVIDIA는 특정한 경우 이러한 지침을 따르지 않을 권리가 있습니다.

보안 게시판

대부분의 경우 NVIDIA는 보안 취약점에 대해 확인된 타당한 해결책이나 보안 업데이트가 있다면 고객에게 알리고자 합니다. 알림은 특정 대상에게 알리거나 보안 게시판을 게시하는 방식으로 전달합니다. 보안 게시판을 게시하기 전에 NVIDIA PSIRT가 먼저 취약점 대응 프로세스를 완료하고 해당 취약점을 해결하기에 충분한 소프트웨어 업데이트 또는 해결책이 존재하는지, 또는 취약점을 해결하기 위해 해결책의 후속 공개를 계획할 것인지 여부를 판단합니다.

보안 게시판은 고객이 스스로 보호할 수 있도록 충분한 세부 정보를 제공해 적합한 양의 정보로 균형을 맞추려 시도하지만, 악성 사용자가 정보를 악용하는 데 사용될 수 있는 자세한 내용을 공개하지는 않습니다. NVIDIA 보안 게시판에는 일반적으로 해당하는 경우 다음 정보가 포함됩니다.

  1. 영향을 받는 제품 및 버전
  2. 취약점에 대한 CVE(일반 취약점 열거) 식별자(https://cve.mitre.org 참조)
  3. 취약점 및 악용될 경우의 잠재적 영향에 대한 간단한 설명
  4. 취약점에 대한 CVSS(일반 취약점 채점 체계) 심각도 등급( https://www.first.org/cvss/user-guide.html 참조)
  5. 고객이 요구하는 보안 업데이트, 완화 또는 기타 조치와 같은 해결 세부 사항
  6. 식별된 취약점은 보고자 덕분이며 조정된 취약점 공개를 위해 NVIDIA와 협력해주신 것에 대해 감사의 마음을 전합니다.

NVIDIA는 취약점의 세부 사항에 대해 보안 게시판과 릴리스 정보, 기술 자료 문서, FAQ 등의 관련 문서에서 제공된 것 이상의 추가 정보를 제공하지 않을 것입니다. NVIDIA는 식별된 취약점의 악용/개념 증명 코드를 배포하지 않습니다.

업계 관행에 따라, NVIDIA는 내부 보안 테스트 또는 기타 유형의 보안 활동으로부터 얻은 결과를 외부 업체와 공유하지 않습니다. 모든 NVIDIA 보안 생산 시스템에 대한 검색은 공격으로 간주된다는 사실에 유의하셔야 합니다. OEM 파트너라면 귀사의 요구 사항을 NVIDIA 프로그램 관리자와 상의해 조정해 주세요.

NVIDIA 보안 게시판은 보안 게시판 페이지에 게시됩니다.  알림은 여기에서 구독하실 수 있습니다.

보안 고지 사항

취약점에 대중의 관심이 각별하거나, 악용될 소지가 있거나, 현재 악용되고 있다고 판단되는 경우 NVIDIA에서는 대중 공개에 빠르고 적절하게 대응하기 위해 특별한 커뮤니케이션을 발표할 수 있습니다. 그러한 경우, NVIDIA에서는 커뮤니케이션을 신속히 진행할 수 있습니다. 그리고 여기에는 완전한 패치 또는 해결책이 포함되거나 포함되지 않을 수 있습니다.  이는 보안 고지 사항이라고 표시되며 보안 게시판 페이지에 게시됩니다.

취약점 해결

NVIDIA는 보안 문제를 심각하게 생각하며 이를 적시에 평가하여 해결하기 위해 노력하고 있습니다. 대응 시간은 심각도, 영향을 받은 제품, 현재 개발 주기, QA 주기, 해당 문제가 주요 릴리스에만 업데이트될 수 있는지 여부 등 수많은 요인에 따라 결정됩니다. 

해결을 위해 다음 양식 중 하나 이상이 필요할 수 있습니다.

  1. 새 릴리스
  2. NVIDIA가 제공하는 보안 업데이트
  3. 타사 업데이트 또는 패치를 다운로드 및 설치하기 위한 지침
  4. 취약점 완화를 위한 해결책

상기 내용에도 불구하고 NVIDIA는 문제에 대한 특정한 해결을 보장하지 않고 식별된 모든 문제가 해결되지 않을 수 있습니다.

NVIDIA PSIRT 참여

First의 자랑스러운 회원

NVIDIA는 CVE Numbering Authority입니다.

고객 권한: 보증, 지원 및 유지 관리

모든 NVIDIA 소프트웨어 제품의 보증과 지원, 취약점을 포함한 유지 관리에 관한 NVIDIA 고객의 권한은 NVIDIA와 각 고객 사이에 체결된, 해당 계약에 적용을 받습니다.

본 웹 페이지의 진술은 어떤 고객 권한도 수정하거나 확장하지 않으며 어떤 추가 보증도 생성하지 않습니다. 제품 취약점 보고서의 모든 정보를 포함해 NVIDIA 제품의 취약점과 관련해 NVIDIA로 제공된 모든 정보는 NVIDIA의 독점 정보가 됩니다.

면책 고지

NVIDIA의 PSIRT 프로세스 및 정책의 모든 측면은 고지 없이 개별적으로 변경될 수 있습니다. 모든 특정 문제 또는 문제 클래스에 대한 대응이 보장되지는 않습니다. 본 문서에서 연결된 문서 또는 자료의 정보를 사용하는 것과 관련된 모든 책임은 사용자에게 있습니다. NVIDIA는 고지 없이 언제든지 본 문서를 변경 또는 업데이트할 수 있는 권한을 보유합니다.

모든 NVIDIA 정보, 디자인 사양, 참조 보드, 파일, 도면, 진단, 목록 및 기타 문서(함께 및 별도로 “자료”로 통칭)는 "있는 그대로" 제공됩니다. NVIDIA는 재료와 관련해서 명시적이거나, 암시적이거나, 법적인 어떠한 보증도 하지 않으며, 모든 암시적인 보증이나 타이틀의 상태, 상품성, 만족스러운 품질, 특정 목적에의 적합성 및 비침해를 포함한 모든 명시적 또는 암시적인 모든 조건, 진술 및 보증은 이로써 법률이 허용하는 최대 범위로 제외됩니다.

정보는 제공 시점에 정확하고 신뢰할 수 있습니다. 하지만, NVIDIA Corporation은 이러한 정보의 사용으로 인한 결과 또는 이러한 사용으로 인해 야기될 수 있는 제3자의 특허 또는 기타 권한 침해에 대해 책임지지 않습니다. 암묵적 또는 NVIDIA Corporation의 특허 또는 특허권에 따라 라이선스가 부여되지 않습니다. 본 문서에 언급된 사양은 고지 없이 변경될 수 있습니다. 본 문서는 이전에 제공된 모든 정보를 대체 및 교체합니다. NVIDIA Corporation 제품은 NVIDIA Corporation의 명시적인 서명 승인 없이 생명 유지 장치 또는 시스템의 주요 구성 요소로 사용되도록 승인되지 않았습니다.