슬라이드 1

Size: px

Start display at page:

Download "슬라이드 1"

향기 왕
5 years ago
Views:

1 SW 보안취약점 신고포상제소개 한국인터넷진흥원신대규단장

2 차례 I. 버그바운티배경및필요성 II. III. IV. 국외버그바운티운영현황 국내버그바운티운영현황 KISA 버그바운티운영 V. 취약점발굴활성화 / 조치 대응강화 Page 2

3 I. 버그바운티배경및필요성 - 개요 버그바운티 (Bug Bounty) 란? - 웹서비스또는소프트웨어의취약점을찾아낸사람에게포상금을지급하는제도 화이트해커 : 개인역량및인지도상승, 실질적포상 기업 : 취약점업데이트, 보안위협대응, 비용절감, S/W 품질향상, 기업가치제고 취약점분석, 리포트제출 화이트해커 기업 취약점수준에따른보상제공 Page 3

자체발굴버그바운티자체발굴버그바운티 취약점건수 263 371 48 148 지출비용 547,500 393,161 547,500 444,000

4 I. 버그바운티배경및필요성 - 운영효과 캘리포니아대학의 취약점보상프로그램실증적연구 결과지난 3년간구글, 모질라의버그바운티제도가보안연구비를절감하고대량의취약점을발견하는데효율적이라고밝힘 ( 13년) 버그바운티운영효율성 구분 구글크롬 모질라파이어폭스 자체발굴버그바운티자체발굴버그바운티 취약점건수 지출비용 547, , , ,000 취약점건당지출비용 2,082 1,060 11,406 3,000 자체발굴지출비용의경우보안팀직원하루일당 $500 * 365 일 * 3 년으로작성 $485 $658 << 일평균취약점보상프로그램지출비용 Page 4

5 II. 국외버그바운티운영현황 참여기업현황 구글, MS 등해외주요기업들은자사제품 서비스의취약점발굴및보안강화를위해다양한버그바운티프로그램운영 - S/W 외에온라인서비스버그바운티를도입하는기업이증가 * SW 취약점 : Netscape(1995), Mozilla Firefox(2004.9), Google Chromium(2010.1) * 온라인서비스취약점 : Google Web( ), Mozilla Web( ), Facebook( 2011) 어도비, 트위터, 야후등은버그바운티운영대행사를통해버그바운티참여 Page 5

6 III. 국내버그바운티운영현황 - 국내전체 문제점 자사제품 / 서비스에대한체계적인취약점대응을해야겠다는기업들의의지및인식부족 자사제품 / 서비스에대한취약점이없다는자신감결여, 자사개발자에의한취약점신고악용우려등 운영현황 KISA : 06년시작 ( 포상금 X), 12년 10월부터최고 500만원까지포상금지급 삼성전자 ( 12년) : 스마트 TV 분야버그바운티운영, $1,000+@ 취약점신고포상제참여 : 한글과컴퓨터 ( 14년), 네이버 ( 15년), 카카오 ( 16년) Page 6

7 IV. KISA 버그바운티운영 정책방향 화이트해커양성, 침해사고예방 ( 취약점사전조치등 ) 목적으로신고포상제운영 기업주도버그바운티가활성화되기전까지 KISA 에서주도로포상제운영 기업참여활성화를위해신고된기업대상버그바운티참여설득노력중 취약점조치및공지에대한법적근거 ( 정보통신망법 ) 시행령제 56 조 ( 침해사고대응조치 ) 법제 48 조의 2 제 1 항제 4 호에서 " 그밖에대통령령으로정한침해사고대응조치 " 란다음각호의조치를말한다. ( 중략 ) 2. 소프트웨어산업진흥법 제 2 조제 4 호에따른소프트웨어사업자중침해사고와관련이있는소프트웨어를제작또는배포한자에대한해당소프트웨어의보안상취약점을수정 보완한프로그램 ( 이하 " 보안취약점보완프로그램 " 이라한다 ) 의제작 배포요청및정보통신서비스제공자에대한보안취약점보완프로그램의정보통신망게재요청 ( 하략 ) 제 47 조의 4( 이용자의정보보호 ) 3 소프트웨어산업진흥법 제 2 조에따른소프트웨어사업자는보안에관한취약점을보완하는프로그램을제작하였을때에는한국인터넷진흥원에알려야하고, 그소프트웨어사용자에게는제작한날부터 1 개월이내에 2 회이상알려야한다. 제 76 조 ( 과태료 ) 2 다음각호의어느하나에해당하는자에게는 2 천만원이하의과태료를부과한다. ( 중략 ) 10. 제 47 조의 4 제 3 항을위반하여소프트웨어사용자에게알리지아니한자 ( 하략 ) Page 7

8 IV. KISA 버그바운티운영 운영정책 KISA 포상은제조사가보안패치한날로부터 120 일 (4 개월 ) 이전에외부공개불가 신고내용이다르게밝혀지거나, 제 3 자에게공개한경우포상대상제외및환수 취약점을이용한공격코드 (Exploit Code) 별로제출시, 기술가산점부여 Page 8

IV. KISA 버그바운티운영 - 개요 포상대상 : 최신버전의소프트웨어에영향을줄수있는신규보안취약점 ( 제로데이취약점 )

평가결과에따라최소 30만원 ~ 최고 500만원까지포상 평가기준 : 출현도, 영향도, 공격효과성, 발굴수준 보안취약점평가국제표준

누구든지정당한접근권한없이또는허용된접근권한을넘어정보통신망에침입하여서는아니된다.

9 IV. KISA 버그바운티운영 - 개요 포상대상 : 최신버전의소프트웨어에영향을줄수있는신규보안취약점 ( 제로데이취약점 ) 홈페이지취약점등현재운영중인서비스나시스템에대한취약점은평가및포상대상에서제외 ( 망법 48조 ) 포상지급 : 분기별취약점평가실시, 평가결과에따라최소 30만원 ~ 최고 500만원까지포상 평가기준 : 출현도, 영향도, 공격효과성, 발굴수준 보안취약점평가국제표준 (CVSS), 해외취약점평가체계 (CWSS) 기반평가척도설정 정보통신망법제 48 조 제 48 조 ( 정보통신망침해행위등의금지 ) 1 누구든지정당한접근권한없이또는허용된접근권한을넘어정보통신망에침입하여서는아니된다. 2 누구든지정당한사유없이정보통신시스템, 데이터또는프로그램등을훼손 멸실 변경 위조하거나그운용을방해할수있는프로그램 ( 이하 " 악성프로그램 " 이라한다 ) 을전달또는유포하여서는아니된다. 3 누구든지정보통신망의안정적운영을방해할목적으로대량의신호또는데이터를보내거나부정한명령을처리하도록하는등의방법으로정보통신망에장애가발생하게하여서는아니된다. 발굴수준 발굴난이도, 문서완성도 출현도보급범위, 영향범위 공격난이도 취약점평가 영향도 공격벡터, 권한요구상호작용, 공격신뢰성 기밀성, 무결성가용성, 피해심각성 Page 9

10 IV. KISA 버그바운티운영 평가기준수립 CVSS Common Vulnerability Scoring System : 보안취약점을일관성있는공통요소로판단하여점수화하는국제표준 (ITU-T X.1521) 프레임워크 FIRST에서관리하며 2005년부터사용된버전 2.0이현재사용되고있으며 14년에버전 3.0이발표 CWSS CWSS(Common Weakness Scoring System) : 미국국토안보부의국가사이버보안부서 (National Cyber Security Division) 의지원을받아고안된취약점점수화프레임워크 국가사이버보안부서는美국토안보부소속으로 CWE(Common Weakness Enumeration) 프로젝트수행 KISA 취약점평가기준 CVSS 와 CWSS 에서평가항목, 평가방법을선별적으로참고하여국내환경에맞게적용 CVSS * 영향도 ( 기밀성, 무결성, 가용성 ), * 공격난이도 ( 공격벡터 ) CWSS * 출현도 ( 보급범위, 영향범위 ), * 영향도 ( 피해심각성 ), * 공격난이도 ( 공격신뢰성, 상호작용정도, 권한요구도 ), * 발굴수준 ( 발굴난이도 ) Page 10

11 IV. KISA 버그바운티운영 - 평가기준 총점 = ( 출현도점수 * 영향도점수 * 공격난이도점수 * 0.7 ) + {( 발굴난이도 + 발굴완성도 ) * 0.5 * 0.3} * 100 대분류소분류개요 출현도 보급범위 영향범위 해당취약점이발견되는소프트웨어등의제품의보급정도를평가 취약점을가진소프트웨어에서실제침해영향을미치는버전, 설정 실행환경 영향도 기술적영향 피해의심각성 공격벡터 취약점을이용한공격이성공하였을때시스템에끼치는기밀성, 무결성, 가용성측면의영향취약점을이용한공격이성공하였을때피해시스템 ( 또는기관인프라, 국민 ) 에미치는잠재적영향취약점을이용하여침해를수행하기위해요구되는접근제한성 공격 난이도 권한요구도 상호작용정도 공격자가취약점에대한공격을수행하기위하여필요한권한 취약점을이용한공격이수행되기위해요구되는피해자협력정도 공격의신뢰성 표준적공격방법존재여부및공격성공확률 발굴 수준 발굴난이도 발굴완성도 취약점발굴기술난이도 취약점신고문서내용, 구성충실도, exploit 코드제공수준 Page 11

12 IV. KISA 버그바운티운영 -( 세부평가기준 1) Page 12

13 IV. KISA 버그바운티운영 -( 세부평가기준 2) Page 13

14 IV. KISA 버그바운티운영 통계 ( 신고 / 평가 / 포상 ) 월간평균 24 개, 총 1,087 건취약점접수및처리 취약점평가를통해총 677 건포상 (66,165 만원 ) 총신고자수는 268 명, 동일인최다신고는 46 건 취약점신고 / 평가 / 포상추이 ('12.10~'16.05) , , , , ,000 15, , ,000 5, , 년 2013 년 2014 년 2015 년 ~2016 년 2 차신고건수평가건수포상건수포상금액 - Page 14

15 IV. KISA 버그바운티운영 통계 ( 분야 ) 16 년도상반기 IoT(41%) > Application(28%) > CMS(15%) > ActiveX(10%) > Service(6%) IoT 취약점 : 공유기 (44%) > IP 카메라 (22%) > 앱 (17%) > NAS(14%) 현재 IoT 취약점이 Application 보다많이들어오고있으며, IoT 컨트롤러등이새롭게접수됨 IoT 컨트롤러 2% NAS 14% 스마트 TV 1% 취약점분류별신고추이 ('12.10~'16.05) 앱 17% 공유기 [ 백분율 ] IP 카메라 22% Page 15

16 V. 취약점발굴활성화 / 조치 대응강화 신고포상제활성화 신고포상제참여기업확대 - 신고포상제공동운영안내서제작및 KrCert 게시 ( 16.6) - 신고포상제민간기업참여를위한혜택방안마련 자사취약점영구공개불가, KrCERT 홈페이지내주요정보보호활동강화기업노출, 화이트해커및 KISA를통한분석서비스지원, 정보보호대상평가시가산점부여등 KISA 로신고된취약점신고및포상이많은기업대상설득유도 (1 차대기업 -> 중기업으로확대 ) Page 16

17 V. 취약점발굴활성화 / 조치 대응강화 화이트해커양성화 화이트해커인재풀시스템구축 ( 기취약점신고한전문가로구성 ) 및활용확대 각종신고포상제안내등관련정보제공하고우수취약점신고포상제, 명예의전당등진행및활용 취약점조치 대응강화 정책확립 - 7일이내조치계획접수 (SW 제조사 KISA) - 2개월이내보안패치개발 (SW 제조사 ) 업체요구시 ( 또는필요시 ) 1개월연장 정책미준수시취약점및해당 SW 제조사공개 Page 17

18 Q&A Page 18

19 감사합니다. Page 19

제 1 장개요 1 1. 신고포상제배경 2 2. 운영효과 4 3. 운영현황 5 제 2 장신고포상제절차 7 1. 취약점평가기준 9 2. 포상금지급기준 10 제 3 장공동운영사 공동운영협의사항 12 제 4 장참고자료 14

S/W 신규취약점신고포상제 운영안내서 제 1 장개요 1 1. 신고포상제배경 2 2. 운영효과 4 3. 운영현황 5 제 2 장신고포상제절차 7 1. 취약점평가기준 9 2. 포상금지급기준 10 제 3 장공동운영사 11 1. 공동운영협의사항 12 제 4 장참고자료 14 제 1 장 개요 제 1 장개요 1.1 운영배경 버그바운티 (Bug Bounty) 소프트웨어또는웹서비스의취약점을찾아낸사람에게포상금을지급하는제도