관련 뉴스 :
- [보안뉴스] 한국형 버그 바운티, 보안 취약점 신고 포상제의 모든 것 (2014-10-07)
- [보안24] 버그 바운티 제도 도입 시급하다 (2015-11-02)
- [보안뉴스] 버그바운티 노리는 상금 사냥꾼, 그 위에 슈퍼 헌터 (2016-06-10)
- [IT World] "버그 포상금 높아지고, 각 산업군으로 확산 추세" ...버그크라우드의 2016 버그 포상금 실태 보고서 (2016-06-14)
관련 사이트 :
- 한국버그바운티 : http://www.bugbounty.co.kr/
Bug Bounty
2012년 10월부터 한국인터넷진흥원이 운영하는 신고 포상제는 페이스북, 구글, 마이크로소프트 등 글로벌 기업에서 실시하는 버그 바운티를 모티브로 한 제도다. 버그바운티는 기업 등이 자사 서비스나 제품의 보안성 강화를 위해 취약점을 찾아 신고해준 사람에게 포상금을 지급하는 프로그램이다.
웹 서비스나 소프트웨어의 취약점을 찾아주는 이들에 대해 보상을 하는 제도로, 외국의 경우 마이크로소프트나 구글, 이베이 등이 참여하며 활성화돼 있다. 현재 미국의 경우 취약점을 찾아주면 수억원까지 포상을 하고 있다.
최근 버그바운티 현황
버그크라우드에 등록된 버그바운티 프로그램의 평균 상금액은 2014년 200.81 달러였으나 한 해만에 294.70 달러로 47%나 증가했다. 2016년 1사분기만 집계한 결과 평균 상금은 505.79 달러로 한층 더 높아졌다.
현재 버그바운티 프로그램은 산업을 가리지 않고 활발히 도입되고 있는 중이다. “버그바운티가 돈 많은 기업들이 사회 환원 차원에서 혹은 복지 차원에서 진행되는 게 아니라 정식 보안 평가 측정의 수단으로서 정착되어 가고 있는 분위기다.
가장 많은 버그바운티를 진행하는 업체는 소프트웨어 회사와 인터넷 회사다. 그 뒤로 금융계와 은행권이 바짝 쫓고 있으며 IT, 컴퓨터, 네트워크 보안, 전자상거래, 도소매가 차례로 다음 자리들을 꿰찼다.
그럼에도 불구하고 버그크라우드의 보고서는 "버그 포상금 시장이 빠르게 성장하고 있지만, 최근 포브스(Forbes) 2,000대 기업 목록의 기업 가운데 94%가 현재 취약점 공개 또는 버그 포상금 프로그램이 없다고 밝힌 연구 보고서에서 볼 수 있듯이 갈 길이 아직 멀다"고 밝혔다.
신고 포상제 운영방식
S/W 신규 보안 취약점은 인터넷침해대응센터 취약점신고 홈페이지(http://www.krcert.or.kr/kor/consult/consult_04.jsp)를 통해 접수받고 있다. 소프트웨어신규 보안 취약점을 발견해 신고를 하면 KISA 취약점분석팀에서 악성코드 유포가 가능한지 등을 검증한 후 해당 소프트웨어 개발사에게 취약점 보고서를 보낸다. 이후 해당 소프트웨어 개발사가 패치를 개발해 배포하는 형식으로 운영된다.
취약점을 신고 받고 분석하는 과정은 일년 내내 이뤄지나 포상은 3월, 6월, 9월, 12월로 나눠 각 분기별로 이뤄진다. KISA는 분기마다 교수, 외부전문가 등으로 구성된 평가위원에게 신고 접수된 모든 취약점의 1차 평가 내용을 브리핑한다.
각 취약점마다 출현도, 영향도, 공격의 효과성, 발굴수준 등에 대한 평가위원들의 의견을 수렴한 뒤 그들의 의견을 점수화한다. 접수된 소프트웨어 보안 취약점이 신규 취약점으로 인정된 경우 최소 30만원부터 최대 500만원까지 포상금이 지급된다.
취약점 분석가들이 취약점 신고 시에 유의해야 할 사항도 있다. 평가에 필요한 정보가 누락될 수 있으므로 반드시 한국인터넷침해대응센터 취약점신고 페이지에서 신고양식을 다운받아 작성한 뒤 홈페이지에 업로드해야 한다. 또한 홈페이지 취약점 등 현재 운영중인 서비스나 시스템에 공격을 시도할 경우 타사의 시스템을 침해하는 행위이기에 포상에서 제외된다.
기준에 부합하지 않는 신고 건수에 대해서는 제보 받은 내용에서 개인정보만 삭제한 후 해당 기업에 패치를 요청하며, 제보자에게도 기준에 부합하지 않아 평가대상에서 제외된다는 안내 메일이 발송된다.
'Study > 용어' 카테고리의 다른 글
앱태크 (0) | 2018.08.09 |
---|---|
WarGame (워게임) (0) | 2016.08.29 |
오픈 소스 (Open Source) (0) | 2016.07.30 |
PreFetch와 SuperFetch (0) | 2016.07.08 |
스테가노그래피 (Steganography) (0) | 2016.06.08 |
댓글