FBI & CISA의 '제품 보안 나쁜 사례' 가이드라인 살펴보기

최근 FBI와 CISA가 발표한 '제품 보안 나쁜 사례' 문서를 살펴봤습니다. 이 가이드라인은 소프트웨어 제조업체들이 피해야 할 13가지 주요 보안 위험 사례를 제시하고 있는데요, 특히 중요 인프라나 국가 핵심 기능과 관련된 소프트웨어에 초점을 맞추고 있습니다. 주요 내용을 크게 세 가지 카테고리로 나누어 설명하고 있습니다. 1. 제품 속성: 메모리 안전성이 검증되지 않은 C/C++ 사용 지양, SQL/명령어 인젝션 취약점 방지, 기본 패스워드 사용 금지 2. 보안 기능: 다중인증(MFA) 의무 지원, 침입 증거 수집을 위한 로깅 기능 구현 3. 조직 프로세스: CVE 적시 발행, 취약점 공개 정책(VDP) 수립, 제품 지원 기간 명확한 커뮤니케이션 이 가이드라인은 강제성은 없지만, 현대 소프트웨어 개발에서 반드시 고려해야 할 보안 요소들을 잘 정리하고 있습니다. 개발자분들에게 일독을 추천드립니다. https://www.ic3.gov/CSA/2025/250117.pdf