제품 보안 게시판

report

제품 보안 사례

제품 소프트웨어 보안 관행에 대해 자세히 알아보기

McAfee에서는 고객의 컴퓨터, 네트워크, 장치 및 데이터에 대한 보안을 확고히 하는 데 초점을 두고 있습니다. 당사에서는 문제가 발생함에 따라 신속히 해결하고 보안 게시판 및 기술 자료 기사를 통해 권장 사항을 제공하는 데 매진하고 있습니다. 자세한 내용은 PSIRT 팀에 문의하십시오. 보안 문제 또는 McAfee의 취약점에 대해 보고하는 법에 대해서는 아래 "보안 취약점 보고" 탭에 나와 있는 설명을 확인하십시오.

바이러스 샘플 제출기술 지원팀에 문의

2018년 5월 21일: Spectre NG

Intel에서 2018년 5월 21일 공개한 Spectre NG라고 하는 두 개의 새로운 사이드 채널 취약성 집합이 McAfee 어플라이언스 제품에 영향을 줍니다.

  • CVE-2018-3639 – SSB(Speculative Store Bypass) – 유형 4라고도 함
  • CVE-2018-3640 – RSRE(Rogue System Register Read) – 유형 3a라고도 함

기술 자료 기사:

  • KB90619 – Spectre-NG 보고서에 대한 McAfee 응답

 

모든 배너 아카이브 보기
보안 게시판
보안 게시판 – 소비자
TS102830 Android의 McAfee Mobile Security 4.x 잠금 화면 제한 2018년 10월 8일
TS102829 McAfee Mobile Security 잠금 기능이 Android 알림 영역을 숨길 수 없음 2018년 10월 8일
TS102817 McAfee Mobile Security에서 잠긴 앱이 백그라운드의 분할 화면 모드에서 열린 경우 PIN 화면을 표시할 수 없음 2018년 10월 8일
TS102846 True Key Windows 응용프로그램의 DLL 사이드 로딩 취약점(CVE-2018-6700) 2018년 9월 10일
TS102825

True Key Android 업데이트로 잠재적 주소 표시줄 스푸핑 노출 수정(CVE-2018-6682)

2018년 8월 08일
TS102801 True Key 업데이트로 DLL 사이드 로딩 취약점 수정(CVE-2018-6661) 2018년 3월 30일
TS102769 Microsoft 보안 업데이트 2018년 1월(Meltdown & Spectre) 및 McAfee 소비자 제품(CVE-2017-5715, CVE-2017-5753, CVE-2017-5754) 2018년 1월 03일
TS102723 McAfee Live Safe 및 McAfee Security Scan Plus 업데이트에서 메시지 가로채기(man-in-the-middle) 취약성 수정(CVE-2017-3897 및 CVE-2017-3898) 2017년 8월 31일
TS102714 McAfee Security Scan Plus 업데이트에서 잠재적 메시지 가로채기(man-in-the-middle) 취약성 수정(CVE-2017-3897) 2017년 7월 28일
TS102651 업데이트에서 McAfee AntiVirus Plus, McAfee Internet Security 및 McAfee Total Protection의 잠재적 취약성 수정(CVE-2017-4028) 2017년 3월 29일
TS102614 McAfee Security Scan Plus의 잠재적 취약성이 수정됨(CVE-2016-8026) 2016년 12월 21일
TS102593 Security Scan Plus 업데이트에서 McUICnt.exe로 인한 안전하지 않은 로딩 수정(CVE-2016-8008) 2016년 11월 14일
TS102570 ‘McOemCpy.exe’에서 인증되지 않은 DLL 파일을 로드하지 않도록 수정됨 2016년 10월 07일
TS102516 McAfee Total Protection Suite 업데이트에서 McAfee File Lock의 버퍼 오버플로우와 메모리 유출 수정(CVE-2015-8772) 2016년 4월 28일
TS102462 여러 McAfee 설치 프로그램 및 제거 관리자의 보안 패치(CVE-2015-8991, CVE-2015-8992, CVE-2015-8993) 2015년 12월 03일
TS102504 소비자 제품의 잠재적 취약성을 McAfee에 알리는 방법 안내서

McAfee 제품과 관련한 보안 문제나 취약성에 대한 정보가 있다면 PSIRT@McAfee.com으로 이메일을 보내주십시오. McAfee의 PGP 공개 키를 사용하여 중요한 정보를 암호화하십시오.
다음 항목을 포함하여 가능한 한 많은 정보를 제공해 주십시오.

  • 발견자의 연락처 정보:
    • 이름(전체 이름 또는 별명)
    • 실제 주소(최소 주 수준으로 정확하게)
    • 소속 / 회사
    • 이메일 주소
    • 전화 번호
  • 제품 정보:
    • 영향을 받은 제품 및/또는 하드웨어 버전(알려진 경우 빌드 번호)
    • 알려진 경우 운영 체제
    • 소프트웨어 및/또는 하드웨어 구성
  • 취약성 정보:
    • 취약성에 대한 자세한 설명
    • 취약성을 생성/확인하는 데 사용한 샘플 코드
    • 알려진 위협에 대한 정보
    • 취약성이 이미 문서화된 경우 CVE 번호
    • 엔지니어링 팀이 근본 원인을 분석하거나 식별하는 데 도움이 될 수 있는 자세한 정보에 대한 URL이나 링크
  • 통신 계획:
    • 공개 계획(날짜 및 장소)
    • 보안 게시판에서 발견자로서 인정되는 권한

McAfee PSG(Product Security Group)이나 제품 보안 사고 대응팀(PSIRT, Product Security Incident Response Team)의 구성원이 이메일을 검토하고 발견자에게 연락하여 문제를 함께 해결하게 됩니다.

상담 분류

모든 제품 취약성은 McAfee Product Security Group에서 처리합니다. 기타 문제의 경우에는 아래의 팀들 중 한 곳에 문의하십시오.

IT 응용프로그램 및 웹 응용프로그램 취약성은 McAfee GSS(Global Security Services)의 보안 운영 센터(SOC, Security Operations Center)에서 처리합니다.

IT 응용프로그램 또는 웹 취약성
McAfee SOC(Security Operations Center)
이메일: abuse.report@mcafee.com
전화번호: +1 972-987-2745

현재 배송 중인 제품의 성능에 대한 외부 문의는 McAfee 기술 지원에서 처리합니다.

제품 또는 소프트웨어 성능이나 가입 문제
McAfee 기술 지원
웹: http://www.mcafee.com/kr/support.aspx

바이러스 및 악성 프로그램 샘플은 McAfee Labs에서 처리합니다.

바이러스 샘플 제출
McAfee Labs
이메일: virus_research@mcafee.com
웹: http://www.mcafee.com/enterprise/en-us/threat-center/how-to-submit-sample.html

McAfee PSIRT 연락처
이메일: PSIRT@McAfee.com
전화번호: +1 408-753-5752

PSIRT 정책문

실행 가능
McAfee에서는 실행 가능한 해결 방법, 패치, 핫픽스 또는 버전 업데이트 없이 제품이나 소프트웨어 취약성을 공개적으로 발표하지 않습니다. 그렇지 않으면 McAfee 제품이 대상으로 하는 해커 커뮤니티에 알려져서 고객을 더 큰 위험에 빠뜨리게 됩니다. HeartBleed와 같이 많은 언론의 관심을 받는 취약점에 대해서는 당사의 인식과 조치를 나타내는 배너를 게시할 것입니다.

즐겨찾기 없음
공정함을 위해 McAfee에서는 제품 취약성을 모든 고객에게 동시에 공개하고 있습니다. 대다수의 고객은 일반적으로 사전 통지를 받지 않습니다. 사전 통지는 사례별로 PSG에 의해 엄격한 NDA를 필수로 하여 제공될 수 있습니다.

발견자
McAfee에서는 다음의 경우에만 외부 취약성 발견자를 신뢰합니다.

  • 외부 취약성 발견자가 발견자임을 밝히기를 원하는 경우
  • 외부 취약성 발견자가 McAfee에 대해 ‘제로 데이’를 수행하지 않거나 SB 또는 KB가 게시되기 전에 자신들의 연구를 공개하는 경우

조직, 개인 또는 두 대상이 모두 발견자로 식별될 수 있습니다.

CVSS 점수
가장 최신 CVSS(Common Vulnerability Scoring System) 버전이 사용됩니다. 현재는 CVSS v3를 사용 중입니다.

모든 보안 게시판에는 관련 CVSS 벡터는 물론 각 취약성에 대한 CVSS 점수를 포함해야 합니다. 기본 점수가 있어야 합니다. 시간 및 환경 점수는 선택 사항입니다. 이상적으로 기본 점수는 NIST가 CVE에 할당한 점수와 일치해야 합니다.

SNS(Support Notification Service) 메시지
SNS(Support Notification Service) 메시지, 통지 또는 경고는 모든 보안 게시판에 대해 필수입니다. SNS는 McAfee Enterprise Support 고객은 물론 다른 고객도 의지하게 되는 서비스입니다.

SNS 텍스트 경보에 가입하려면 SNS 요청 센터로 가서 가입합니다.

대응 정책
McAfee의 수정 및 경보 대응은 가장 높은 CVSS 기본 점수에 따라 달라집니다.

우선순위(보안)CVSS v2 점수 일반적인 수정 대응* SNS
P1 - 치명적 8.5-10.0 높음 핫픽스 경고
P2 - 높음 7.0-8.4 높음 패치 고지사항
P3 - 중간 4.0-6.9 중간 패치 고지사항
P4 - 낮음 0.0-3.9 낮음 버전 업데이트 선택사항
P5 - 정보 0.0 해결하지 않음. 정보용. NA

*참고: 수정 대응은 취약점의 심각도, 제품 수명주기 및 수정 가능성을 기반으로 합니다. 위에서 설명한 일반적인 수정 대응은 지원되는 모든 제품 버전에 대한 핫픽스, 패치 또는 버전 업데이트를 생성하지 않습니다.


외부 통신 메커니즘
데이터 보호 McAfee의 외부 통신 메커니즘은 CVSS 기본 점수, 고객 문의 수 및 언론의 관심 정도에 따라 달라집니다.                                    

  • SB = 보안 게시판(4-10)
  • KB = 기술 자료 기사(2-4)
  • SS = 지원 설명(0-4)
  • NN = 필요하지 않음(0)
 CVSS = 0
낮음
0 < CVSS < 4
낮음
4 ≤ CVSS < 7
중간
7 ≤ CVSS ≤ 10
높음
외부 공개(CVE) 문의가 여러 개이면 KB, 그 밖의 경우 NN KB SB, SNS SB, SNS
고객 공개 SS SS SB, SNS SB, SNS
내부 공개 NN 릴리스 노트의 문서 SB(릴리스 이후) , 릴리스 노트의 문서 SB
(릴리스 이후) , 릴리스 노트의 문서


위기 시나리오
여러 제품에 영향을 주는 높은 심각도의 공개된 취약성에 대해 보안 게시판은 한 제품의 패치와 함께 게시될 수 있으며 그 후 다른 제품을 사용할 수 있을 때 이에 대한 설명 및 패치가 업데이트될 수 있습니다.

여러 취약한 제품이 있는 보안 게시판은 다음의 범주로 모든 제품, 기업 및 고객을 나열하게 됩니다.

  • 취약하고 업데이트됨
  • 취약하고 아직 업데이트되지 않음
  • 취약하지만 위험도가 낮음(주어진 표준 배포 모범 사례)
  • 취약하지 않음
  • 조사 중(선택사항)

보안 게시판은 위기 시나리오가 아닌 한 보통 금요일 오후에는 발표되지 않습니다.

취약점 vs. 위험 점수
McAfee는 업계 표준 CVSS 취약점 점수 시스템에 참여합니다. CVSS 점수는 특정 취약성이 McAfee 고객에게 제기할 수 있는 위험을 판단하기 위한 시작점으로 고려되어야 합니다. CVSS 점수는 McAfee 제품 또는 McAfee 제품이 실행되는 관련 런타임 환경에서 발생할 수 있는 취약성의 심각성 위험 등급과 혼동되어서는 안됩니다.

McAfee는 CVSS 점수로 시작하여 ‘JGERR(Just Good Enough Risk Rating)’을 통해 McAfee 제품에 영향을 줄 수 있는 잠재적인 문제의 위험을 평가합니다. JGERR은 2012년 SANS Institute 스마트 가이드가 되었습니다. JGERR은 Open Group 표준인 ‘FAIR(Factor Analysis of Information Risk)’을 기반으로 합니다. JGERR로 위험을 평가하는 경우 위협 에이전트의 존재 및 활동, 공격 벡터, 위협 에이전트에 대한 취약성 노출, 취약성 악용의 용이성 또는 어려움, 위협으로 인한 영향과 같은 추가 요소가 모두 위험 분석에 고려됩니다. 격리 취약점은 McAfee 위험 등급의 한 가지 측면에 불과합니다.

CVSS 기본 점수는 주어진 사고에 대한 당사의 초기 반응을 결정합니다. McAfee 위험 등급은 패치 또는 업데이트를 제공하는 속도를 결정합니다.

보안 게시판에는 취약함, 취약하지 않음, 취약하지만 악용되지 않음, 취약하지만 위험성이 낮음으로 지정된 제품 목록이 포함될 수 있습니다. 아래 목록은 잠재 고객 영향 측면에서 이러한 각 범주의 의미를 설명합니다.

  • 취약함: 제품에 확인된 취약성이 포함되어 있습니다. 취약점이 고객에게 어느 정도 위험을 초래합니다. 관련 CVSS 점수는 일반적인 배포 시나리오에서 취약점 악용으로 인한 심각한 영향을 나타내는 지표로 간주될 수 있습니다.
  • 취약하지 않음: 제품이 취약점을 포함하지 않거나 취약한 구성 요소의 존재가 어떤 식으로도 악용될 수 없습니다. 제품의 사용이 고객에게 추가적인 위험을 초래하지 않습니다.
  • 취약하지만 악용되지 않음: 제품이 이미지에 포함된 라이브러리 또는 실행 파일 등의 취약점을 가지고 있지만 이 제품은 위협적인 에이전트에 취약점을 노출시키지 않도록 충분한 보안 제어 기능을 제공하므로 취약점을 악용하는 것을 매우 어렵게 합니다. 제품의 사용이 고객에게 추가적인 위험을 초래하지 않습니다.
  • 취약하지만 위험성이 낮음: 제품이 소프트웨어 이미지에 포함된 라이브러리 또는 실행 파일과 같은 취약점을 가지고 있지만 악용으로 인한 영향은 무시할 수 있는 정도이며 추가적인 공격자 값이 없습니다. 제품을 사용하면 권장되는 일반적인 배포 시나리오에서 제품을 사용하는 고객에게 약간의 추가 위험이 발생할 수 있습니다.