선그로 PSIRT에 대해

Sungrow 제품 보안 사고 대응 팀(PSIRT)은 Sungrow 제품의 보안 취약점을 받아들이고, 조사하며, 공개하는 전담 팀입니다. Sungrow는 취약점을 공격자가 악용할 수 있는 보안 문제로 정의하며, 일단 악용되면 제품의 무결성, 가용성 또는 기밀성을 훼손할 수 있습니다. 취약점은 품질 결함과 동등하지 않습니다. 품질 결함은 특정 조건에서 발생하며 공격자가 악용하지 않아도 되지만, 취약점은 공격자에 의해 악용되어야만 발생합니다.

Sungrow PSIRT는 다음과 같은 약속을 합니다:

우리는 IEC 62443-4-1을 사용하여 보안 관리 및 개발 프로세스를 관리합니다.

우리는 제품 및 서비스의 취약점을 줄이기 위해 조치를 취하여 Sungrow 제품/서비스 취약점으로 인해 고객/사용자에게 발생하는 피해와 보안 위험을 감소 또는 제거합니다.

우리는 제품 및 서비스에서 취약점이 발견된 후 고객/사용자에게 신속하게 위험 완화 조치를 제공합니다.

우리는 적극적으로 취약점 관리 책임과 요구사항(비즈니스 운영에 적용 가능한 법률/규정, 계약 요구사항 및 적용 가능한 공개 표준 포함)을 식별하고 취약점을 능동적으로 관리하는 시스템을 구축합니다.
우리는 취약점 관리 프로세스와 표준을 지속적으로 최적화하고 산업 표준과 모범 사례를 학습하여 취약점 관리 성숙도를 향상시킬 것입니다.

의심되는 취약점 보고

Sungrow는 책임 있는 취약점 공개 및 처리 절차를 지원하며, 보안 연구자, 산업 기관, 고객 및 공급업체가 의심되는 Sungrow 제품 취약점을 Sungrow PSIRT에 보고하도록 장려합니다. 취약점을 발견한 경우, 취약점 설명(특정 제품 모델, 소프트웨어 버전 등 포함)을 이메일로 psirt@sungrowpower.com연락처 정보를 남겨주세요. 일반적으로 제출 후 1영업일 이내에 확인 이메일을 받게 되며, 7영업일 이내에 검증 이메일을 받게 됩니다. 이후, 취약점 처리 과정에서 최신 진행 상황을 계속 알려드리겠습니다. 취약점 처리 과정 전반에 걸쳐, 당사 PSIRT는 취약점 정보가 관련 처리자 간에만 전달되도록 엄격히 보장합니다. 고객에게 완전한 해결책이 제공될 때까지 정보를 기밀로 유지해 주시기를 진심으로 요청드립니다. 법적 준수 요구사항을 기반으로 획득한 데이터를 보호하기 위해 필요하고 합리적인 조치를 취할 것입니다. 법률 또는 영향을 받은 고객의 요구가 없는 한 데이터를 타인에게 적극적으로 공유하거나 공개하지 않을 것입니다.

취약점 대응 프로세스:

의심되는 취약점을 받은 후, 당사의 PSIRT는 관련 제품 팀과 협력하여 취약점을 분석/검증하고, 제품에 대한 실제 영향을 기반으로 심각도를 평가하며, 수정 우선순위를 결정하고, 수정 방안(고객이 구현할 수 있는 완화, 패치/버전 및 기타 위험 완화 포함)을 개발합니다.

제품 개발, 전달 및 배포 중 공급업체가 제공하는 제품 또는 서비스에서 취약점을 발견하면, 당사는 취약점 수정을 위해 적극적으로 공급업체에 연락할 것입니다.