취약점 신고 포상제를 운용하는 기업을 소개합니다.

한국의 보안 취약점 신고 포상제를 운용하는 기업을 소개하려고 합니다.
"보안 취약점 신고 포상제"는 취약점을 찾아서 악용하지 않고 기업에 알려주면 감사의 뜻으로 신고자에게 일정 금액을 지급하는 제도입니다.

이 제도는 다국적 기업인 구글, 마이크로소프트, 애플, 페이스북 등 많은 곳에서 운영하고 있으며 자칫하면 큰 손실을 볼 수 있을 취약점을 외부의 도움으로 예방하고 있습니다.
하지만 모든 기업이 시행하고 있는 것은 아니며 한국 기업에서도 일부만 시행하고 있습니다.

참여 기업은?

KISA와 함께 공동으로 운영하는 기업으로는 한글과컴퓨터, 네이버, 카카오, 카카오뱅크, 네오위즈게임즈, 이스트시큐리티, 이니텍, 잉카인터넷, 지니언스가 있으며 자체적으로 운영하는 삼성과 오픈소스 XE(XpressEngine)도 있습니다.


신고는 어디에서?

KISA와 공동으로 운영하는 기업은 기업들은 KISA 인터넷 보호 나라의 S/W 신규 취약점에서 신고 접수가 가능합니다.
삼성은 Rewards Program에서 가능하며 오픈소스 XE(XpressEngine)는 "XE 신규 보안 취약점 신고 포상제"로 신고 페이지를 운영합니다.


포상금은?

KISA와 공동운영사는 최고 500만 원까지 지급되지만 신청한 모두에게 지급되지는 않습니다.
분기 단위로 우수 취약점을 선정하고 그중에서 취약점 평가를 거쳐 포상금액이 결정됩니다.

삼성은 USD $200 ~ USD $200,000을 지급한다고 합니다.

그 외의 기업은 없나?

해외에서는 많은 기업이 운영하고 있으며 전문적으로 하는 사람들도 있습니다. 더 많은 정보를 얻고 싶다면 검색창에 "bug bounty program" 키워드로 검색을 추천합니다.

마무리하며

취약점을 찾기 위해서 운영되는 서비스에 영향을 주었다면 법에 의해 처벌 받을 수 있습니다.
또한 기업에서 이미 인지하고 있는 취약점이거나 일반적으로 발생하지 않아 다수에게 피해를 주지 않는 취약점이라면 포상에서 제외될 수 있습니다.

취약점 신고를 하기위해서는 "취약점이 발생하는 조건"과 "취약점이 미치는 영향"이 명확하고 상세해야합니다.
문제는 인지했지만 명확한 발생 조건을 찾지 못했다면 취약점 평가에서 좋은 결과를 받지 못합니다.
그리고 추측성 신고는 하지마시고 이런 제도를 더 많은 기업이 참여했으면 좋겠네요.

함께보기


Powered by Blogger.