디지털 보안이 가장 중요한 시대에 유럽 연합은 사이버 복원력 법안 (CRA, Cyber Resilience Act)을 도입하여 사이버 보안 법규를 강화시키기 위한 조치를 취하고 있습니다. 유럽 연합이 CRA를 채택함에 따라, Qt Group은 당사 제품이 CRA를 준수하고, 또 우리의 고객이 규정을 잘 준수할 수 있도록 지원하기 위해 지속적으로 노력하고 있습니다.
Long-Term Support (LTS) 릴리스로 인한 변경 사항
CRA의 핵심 중 하나는 벤더가 제품의 전체 수명 주기 동안 고객에게 보안 업데이트를 제공해야 한다는 것입니다. 고객의 요구에 더 잘 부응하기 위해 Qt 그룹은 최근 Long-term support 릴리스의 지원 기간을 3년에서 5년으로 변경하여 Qt 6.8부터 적용한다고 발표했습니다.
Qt 프레임워크는 표준 릴리스와 Long-term support(LTS) 릴리스를 구분하고 있으며, 각 릴리스는 다양한 프로젝트 요구 사항을 충족하기 위해 각기 다른 맞춤형 지원 기간을 가지고 있습니다. 표준 릴리스에는 버그 수정 및 보안 유지 관리 업데이트 릴리스가 1년간 지원됩니다. 반면 Long-term support(LTS) 릴리스는 일반적으로 Qt 6.8 이후 매 네 번째 마이너 버전마다 지원 기간이 연장되며, Qt 6.8 이후부터는 5년 동안 유지 관리 릴리스가 제공됩니다. LTS 버전은 장기간에 걸쳐 안정적이고 안전한 기반이 필요한 프로젝트에 특히 유용합니다. 또한 더 이상 표준 지원을 받지 않는 이전 버전의 Qt를 사용하는 고객 프로젝트를 위한 확장 보안 유지 관리도 제공합니다.
보안 및 취약점 관리
CRA의 또 다른 중요한 요소는 취약점 관리 요건에 초점을 맞추고 있다는 점입니다. 이 법안에서는 “적극적으로 악용된 취약점”을 언급하고 있는데, 이를 “악의적인 행위자가 시스템 소유자의 허가 없이 시스템에서 이를 악용했다는 신뢰할 수 있는 증거가 있는 취약점"으로 정의하고 있습니다.
보안을 강화하고 법적 요건을 준수하기 위해, Qt 그룹은 지원 약관의 섹션 7에서 설명한 대로 Qt 프레임워크의 프로토콜과 방식의 견고성을 더욱 강화했습니다. 문제가 발견되면 실제 보안 위협에 해당하는지 여부를 확인하기 위해 먼저 평가합니다. 확인된 보안 문제는 즉시 조치되며, 문제의 심각성에 따라 우선적으로 대응됩니다. 보안 문제가 타사의 라이브러리에서 발생한 경우, Qt 그룹이 주도적으로 관련 당사자에게 알리고 이후 Qt 소프트웨어의 유지보수 릴리스에 해결책을 통합합니다. 확인된 모든 보안 이슈는 상세하게 문서화되며, 공개 Common Vulnerabilities and Exposures (CVE) 데이터베이스에도 기록됩니다. 또한 Qt 프레임워크는 확인된 보안 이슈에 대한 사전 통지를 위해 커머셜 Qt 고객에게 Early Warning List (EWL) 역시 제공합니다.
EWL 프로세스는 향후 모든 Qt Group 커머셜 소프트웨어 제품으로 확대될 예정이며 제품 유형에 관계없이 모든 커머셜 고객이 이용할 수 있습니다.
Qt 프로젝트 오픈 소스 보안 및 취약점 관리
Qt Group은 Qt 프로젝트를 통해 투명한 절차에 따라 Qt 개발 프레임워크와 도구를 개발하고 있으며, 오픈 소스 프레임워크에 맞춘 보안 문제 처리 절차를 정립하고 있습니다. 현재 절차는 Qt 프로젝트 개선 제안서(QUIPs, Qt Project Improvement Proposals), 그 중에서도 QUIP 0015에 상세히 명시되어 있습니다. Qt Group은 Qt 프로젝트를 통해 특정 오픈 소스 CRA 조항을 포함한 CRA의 요구 사항을 준수하기 위한 절차와 방식을 계속해서 업데이트할 것입니다. Qt 프로젝트 절차에 대한 대략적인 내용은 아래와 같습니다:
- 보안 팀: Qt 프로젝트에는 엄선된 개발자로 구성된 핵심 보안 팀이 있으며, 이들은 보안 정책이 잘 준수될 수 있록 책임지고 있습니다.
- 사전 조치: Qt 프로젝트에서는 보안 취약점을 예방하기 위해 정기적인 코드 리뷰, 정적 코드 분석 및 퍼즈 테스트(Fuzz testing)를 실시합니다.
- 보안 문제 보고: 보안 문제는 일반적인 버그 트래커를 통해 보고되는 것이 아니라 Qt 프로젝트 보안 팀(security@qt-project.org)으로 직접 전송되어야 합니다. 커머셜 라이선스 보유자의 경우, Qt 계정 지원 센터를 통해 문제를 보고할 수 있습니다.
- 보고된 이슈 처리: 핵심 보안 팀은 보고받은 보안 문제를 평가하고 해결하며, 필요에 따라 모듈 유지 관리자와 협력합니다.
- 공개: Qt 프로젝트는 정보의 투명성을 중요하게 생각합니다. 패치를 찾을 수 있는 위치 및 영향을 받는 소프트웨어 버전에 대한 완전한 정보를 제공합니다.
이 프로세스는 보안 문제를 효율적이고 투명하게 처리하는 동시에 Qt 프레임워크의 무결성을 유지하기 위해 만들어졌습니다.
소프트웨어 자재 명세서 (SBOM, Software Bill of Materials) 접근 권한
소프트웨어 공급망은 점점 더 복잡해지고 있습니다. CRA의 한 부분 (이는 최근 미국 행정명령 및 지침에서도 다루고 있습니다) 에서는 소프트웨어 자재 명세서, “SBOM”에 대해 요구하고 있습니다. SBOM 문서는 기업이 CRA를 준수하는 데 있어 핵심적인 부분이 될 것입니다. Qt 그룹은 Qt 6.8 LTS에서 표준 형식의 SBOM 문서를 제공할 예정입니다. 추후 전체 Qt Group 제품 포트폴리오에 걸쳐 추가적인 문서 개발이 진행될 예정입니다.
이외에도 전체 소프트웨어 스택을 기반으로 고객이 자체적으로 SBOM을 작성하는 데 필요한 리소스 및 툴링에 대한 고객의 추가 피드백과 의견을 환영합니다.
