Lenovo 제품 보안 소개

 

Lenovo: 제품 보안 대책과 실천

제품 개발의 양상이 급변하고 해커의 위협이 상존하는 가운데 어떤 제조업체도 자사의 제품이 취약성에서 100% 자유롭다고 보증할 수는 없습니다. 하지만 Lenovo는 고객이 원하는 기능을 갖추었을 뿐 아니라 데이터의 기밀성, 무결성 및 가용성을 보호하는 데 필요한 기술을 제공하는 제품과 솔루션을 출시하여 기대에 부응해야 한다는 것을 잘 알고 있습니다. 이 극복 과제에 대처하고자 Lenovo는 쉴 틈 없이 진화하는 보안 위협으로부터 고객을 보호하기 위해 항상 매진하고 있습니다.

이에 부응해서 Leonvo는 다음 분야에 전문성을 지닌 보안 전문가들로 전담팀을 구성하였습니다.

  • 보안 아키텍처 - 제품 디자인 및 전략에 대한 기술적 준수 이행
  • BIOS/펌웨어/애플리케이션 보안 - 코드 검토 및 인증
  • 모의 해킹 - "화이트 햇(White Hat)" 주도 취약성 테스트
  • 공급 사슬 - 구성 요소, 어셈블리, 펌웨어, 소프트웨어 및 고객 구성 설정을 제공하는 각 공급자의 철저한 보안 검토
  • 고객 지원 - 고객의 우려 사항과 궁금증 해소
  • 사고 대응 - 위험 완화 및 문제 관리
  • 프로젝트 관리 - 계약 협력업체 감독 및 프로그램 구현 관리
  • 고객의 인식 - 보안 사고 및 전략에 관한 커뮤니케이션

당사는 이 전문 지식을 사용하여 제품과 서비스 전반의 보안에 관한 우려를 다루고 있으며, 잠재적인 위협을 찾고 이것을 해결할 방법을 항상 연구하고 있습니다. 해당 팀의 조직 체계는 여기를 참조하십시오.

Lenovo의 제품 보안 관리 시스템은 개발과 제조부터 고객 지원에 이르는 제품 수명 주기 전체에 걸친 보안을 추구하도록 구축되었으며 이로써 보안이 당사 제품에 "추가"되는 것이 아니라 "통합"되게 하고자 온 힘을 다하고 있습니다.

  • 제품 보안 관리 또는 거버넌스는 이 프로세스에 통합되어 제품 개발이 특히 BIOS 및 펌웨어 작성과 배포 영역에서 올바른 보안 프로세스를 따르고 있다는 것을 보장하는 데 일익을 담당합니다.
  • 제품의 최초 계획부터 당사는 고객에게 필요한 중요한 보안 기능을 통합해 넣기 위해 노력하고 있습니다.
  • 개발 및 테스트 프로세스 내내 Lenovo의 윤리적인 모의 해킹 프로그램으로 고객이 우려할 잠재적인 문제를 깊이 이해할 수 있으며, 이를 통해 배송 전에 이 문제를 수정할 수 있습니다.
  • 계속 시행 중인 교육 프로그램은 핵심 인력이 중요 보안 문제 및 특정 제품에서 그러한 문제의 해결책을 찾는 방법에 있어서 늘 최신 정보를 접하게 하는 데 유용합니다.

공급 역량, 품질 기준 등 제품 공급자의 자격을 심사하는 프로세스는 매우 엄격합니다. 또한, Lenovo는 각 공급자의 개발 및 제조 공정 전반을 평가해서 공급자가 보안 위험을 식별하고 완화하는 데 도움을 줍니다. 공급자는 Lenovo의 보안 요구 사항을 충족할 계약상의 책임이 있습니다. 자격 심사를 통과한 후 공급자는 보안 기술과 실무 관행을 늘 최신 상태로 유지해 달라는 항시적 노력의 요구 차원에서 정기적으로 재평가를 받습니다.

Leonvo는 공급 사슬 전체에 걸친 제품 보호를 목표로 합니다. 주요 구성 요소에는 위변조 위험에 대처하기 위한 레이블이 부착됩니다. 중요 부품은 공급자의 관리하에 있으며 조립 공정 전반에서 추적 가능합니다. 공급자의 펌웨어 및 소프트웨어 로딩 공정은 제품에 대한 맬웨어 유입 가능성을 최소화하기 위해 철저한 평가를 받습니다. 마지막으로 Lenovo는 운송부터 인도에 이르기까지 보안이 적용된 포장 기술과 제품 추적 기술을 사용합니다.

자사 제품과 공급 사슬의 보안을 보장하려는 Lenovo의 노력은 미국의 주요 보안 기업 중 한 곳인 Chain Security, LLC의 인증을 받았습니다. 이 최종 결과는 Lenovo의 보안 프로세스, 법인 거버넌스, 공급자 프로그램 등에 대한 최근 3년간의 면밀한 조사 끝에 나왔습니다. 이 분석 결과는 Chain Security사의 Lenovo 관련 조사 내용 상술, Lenovo가 지난 2년 동안 이룬 변화와 개선 내용 그리고 이러한 분석 프로세스로 미루어 봤을 때 Lenovo가 “업계에서 유리한 고지를 선점할 가능성이 크다”는 결론이 담긴 20페이지 분량의 증명서입니다.

증명서 전문을 보려면 여기를 클릭하십시오.

Lenovo는  1) 소프트웨어 또는 펌웨어 보안 업데이트, 2) 전용 부품의 교체 등의 판매 후 보안 지원 서비스를 제공합니다. 이러한 프로세스는 고객을 보호하고 해당 제품의 보안을 늘 강력하게 유지하는 데 유리하도록 고안되었습니다.

Lenovo Product Security Office의 주축은 PSIRT(Product Security Incident Response Team)입니다. 어떤 제품도 보안 위협과 취약성으로부터 100% 안전할 순 없으므로 Lenovo는 당사 제품에 영향을 미치는 임의의 위험 또는 취약성을 최소화하고자 심혈을 기울이고 있습니다. Lenovo PSIRT는 Lenovo 제품에 위험을 초래할 수도 있는 최신의 취약성이나 위협을 발견 및 파악한 다음, 픽스를 푸시해서 이를 해소하고자 동종 업계의 타사와 서로 협력합니다. Lenovo 제품 보안 권고 내용은 https://support.lenovo.com/product에서 확인할 수 있습니다. Product Security Incident Response Team(제품 보안 인시던트 대응팀) psirt@lenovo.com에 문의하시면 새로운 취약성에 관한 보고서를 받을 수 있습니다.

당사 제품에 적용된 기술은 업계 선두주자인 지금의 Lenovo를 있게 하였습니다. Lenovo는 당사 고객의 신뢰와 신임을 얻고 해당 보안 커뮤니티에 대한 신뢰와 확신을 심어주어야 한다는 것을 누구보다 잘 알고 있습니다. 당사는 발전과 개선을 이룰 여지가 상존한다는 것을 잘 알며 스스로 업계 모범 사례를 추구 및 준수하고자 늘 정진하고 있습니다.

공유
비교하기  ()
x