2025년 구글 프로젝트 제로, 패치 갭 축소를 위한 보고 투명성 시험 시행

구글 프로젝트 제로, 패치 갭 해결 위한 보고 투명성 시험 정책 발표

마운틴뷰, CA – 2025년 7월 – 팀 윌리스(Tim Willis)가 이끄는 **구글 프로젝트 제로(Google Project Zero)**가 **"업스트림 패치 갭(upstream patch gap)"**을 줄이기 위한 새로운 "보고 투명성(Reporting Transparency)" 시험 정책을 공개했습니다. 이 정책은 업스트림 벤더와 다운스트림 종속 업체 간의 투명성을 높여 최종 사용자에게 보안 패치를 신속하게 전달하는 것을 목표로 합니다.

정책 업데이트 주요 내용

기존의 90+30 공개 모델 하에서는 벤더가 취약점을 해결하기까지 90일의 유예 기간이 주어지며, 패치가 조기에 릴리스될 경우 추가로 30일의 패치 적용 기간이 부여됩니다. 새로운 시험 정책에서는 다음과 같은 조기 공개 알림 시스템이 도입됩니다:

• 취약점 보고 후 1주일 이내에 프로젝트 제로는 다음 사항을 공개합니다:
  • 보고를 받은 벤더 또는 오픈소스 프로젝트명.
  • 영향을 받는 제품.
  • 보고 접수일 및 90일 공개 마감일.

구글 빅 슬립(Google Big Sleep)(구글 딥마인드와 프로젝트 제로의 협업 프로젝트)도 이 정책을 적용하며, 취약점 보고는 구글 빅 슬립 이슈 트래커를 통해 추적됩니다.

업스트림 패치 갭 문제 해결

업스트림 패치 갭은 업스트림 벤더가 패치를 릴리스한 후 다운스트림 종속 업체가 이를 제품에 통합하기까지의 지연 시간을 의미합니다. 이 갭은 취약점의 수명을 크게 늘려, 패치가 이미 제공된 후에도 최종 사용자가 노출된 상태로 남아 있게 만듭니다.

"최종 사용자에게 취약점은 벤더 A에서 벤더 B로 패치가 릴리스된 시점에서 해결되는 것이 아닙니다. 그들이 업데이트를 다운로드하고 설치했을 때 비로소 해결됩니다."라고 윌리스는 설명했습니다. "이 연결 고리를 단축하기 위해서는 업스트림 지연 문제를 해결해야 합니다."

목표 및 기대 효과

보고 투명성 시험 정책의 주요 목표는 다음과 같습니다:

• 업스트림 취약점에 대한 조기 신호를 다운스트림 종속 업체에 제공하여 투명성 증대.
• 벤더 간 커뮤니케이션 채널 강화를 통해 패치 개발 및 적용 가속화 유도.
• 최종 사용자에게 패치가 도달하는 데 걸리는 시간을 공개 추적 가능하게 하여, 특히 패치가 제공되지 않는 경우에도 모니터링 가능하도록 함.

프로젝트 제로는 이 시험 정책이 보다 능동적인 보안 생태계를 조성하여, 중요한 취약점에 대한 노출 기간을 단축할 것으로 기대하고 있습니다.

보안 영향 및 업계 반응

이 시험 정책은 초기에는 미해결 취약점에 대한 대중의 주목을 끌 수 있지만, 프로젝트 제로는 공개 마감일 이전까지 기술 세부 정보, 개념 증명 코드, 또는 익스플로잇 가능 정보를 공개하지 않을 것임을 강조했습니다. 이 정책은 공격자에게 가이드를 제공하기 위한 것이 아니라 경고 메커니즘으로 설계되었습니다.

"공정하고 단순하며 투명한 정책의 이점이 소수의 벤더에게 불편을 주는 위험보다 크다고 믿습니다."라고 윌리스는 말했습니다. "2025년에는 소프트웨어에 취약점이 존재한다는 사실 자체가 놀라운 일이 아니며, 사용자들은 보안 업데이트에 대해 그 어느 때보다 잘 알고 있습니다. 복잡한 시스템에는 취약점이 존재할 수밖에 없다는 것이 널리 받아들여지고 있습니다."

향후 계획 및 모니터링

시험 정책인 만큼 프로젝트 제로는 정책의 효과를 면밀히 모니터링하고 필요에 따라 조정할 계획입니다. 궁극적인 목표는 업스트림 저장소뿐만 아니라 최종 사용자가 매일 사용하는 기기, 시스템, 서비스에서 취약점이 해결되는 더 안전한 생태계를 만드는 것입니다.

보안 전문가와 벤더들은 시험 진행 과정에서 피드백을 제공하도록 권장됩니다. 자세한 내용은 프로젝트 제로 보고 투명성 페이지를 참조하시기 바랍니다.