S/W 신규취약점신고포상제 운영안내서
제 1 장개요 1 1. 신고포상제배경 2 2. 운영효과 4 3. 운영현황 5 제 2 장신고포상제절차 7 1. 취약점평가기준 9 2. 포상금지급기준 10 제 3 장공동운영사 11 1. 공동운영협의사항 12 제 4 장참고자료 14
제 1 장 개요
제 1 장개요 1.1 운영배경 버그바운티 (Bug Bounty) 소프트웨어또는웹서비스의취약점을찾아낸사람에게포상금을지급하는제도 o 구글, MS, 페이스북등주요글로벌기업은자사제품및서비스의취약점발굴및 보안강화를위해버그바운티를운영중 - 소프트웨어외에온라인서비스에도버그바운티를도입하는기업이증가 o 국내기업들은취약점을제보하면기업에대한간섭으로인식하거나공격행위로간주, 자사이미지실추등의이유로제도도입에소극적임 - ( 민간 ) 삼성전자가 ( 스마트 TV) 유일하게버그바운티를자체운영 - ( 정부 ) NCSC( 07 년 ), KISA( 12 년 ) 는취약점을악용한침해사고예방을위해서 신고포상제를운영 - 2 -
구분시행사프로그램대상보상시행시기 NCSC 국가사이버안전위협정보신고제모든 S/W, 서비스 ~1,000 만원 07 KISA S/W 신규취약점신고포상제모든 S/W 12.10 국내 한글과컴퓨터한글과컴퓨터보상프로그램한컴오피스 14. 2분기 30만원 ~500 만원 네이버네이버보상프로그램제로보드, S/W 15. 2 분기 카카오카카오보상프로그램카카오 S/W 16. 1 분기 삼성전자스마트 TV 보상프로그램스마트 TV $1,000+α/ 명예의전당 12 구글취약점포상프로그램웹서비스 $100~$20,000/ 명예의전당 10.11 구글 크롬보상프로그램크롬브라우저, 운영체제 $500~$15,000/ 명예의전당 10.1 패치보상프로그램오픈소스 S/W 일부 $500~$10,000 13.10 페이스북페이스북버그바운티프로그램웹서비스 $500~/ 명예의전당 11.7 보안기법우회윈도우플랫폼 ~$100,000/ 명예의전당 13.6 국외 마이크로소프트 블루햇보너스포디펜스윈도우플랫폼 ~$200,000 13.6 온라인서비스버그바운티온라인서비스 $500~$1,500/ 명예의전당 14.9 스파르탄프로젝트버그바운티최신브라우저 ~$15,000/ 명예의전당 15.4~6.NET Core, ASP.NET 버그바운티웹개발툴 ~$15,000 15.10~ 16.1 ZDI 제로데이이니셔티브모든 S/W 자체평가포상금 / 마일리지제도 05.8 라인라인버그바운티라인메신저 $500~$20,000/ 명예의전당 15.8~9 < 표 1-1> 국내외기업의신고포상제운영사례 - 3 -
1.2 운영효과 o 신고포상제운영이자체발굴보다보안연구비를절감하고대량의취약점을 발견하는데효율적임 구분 구글크롬 (3 년간 ) 모질라파이어폭스 (3 년간 ) 자체발굴신고포상제자체발굴신고포상제 취약점건수 263 371 48 148 지출비용 ($) 547,500 393,161 547,500 444,000 취약점건당지출비용 ($) 2,082 1,060 11,406 3,000 출처 : 캘리포니아대학 취약점보상프로그램실증적연구결과, 2013 신고포상제운영기업인터뷰 한컴 는 보안이슈에적극적으로참여하는기업으로인식되어기업의대외이미지가향상되고보안업데이트필요성에대한고객들의인식이변화되기시작하였다 또한 화이트해커및관련업계담당자와의소통을통해정보수집이빨라졌다 라고평가함 구글은 버그바운티로찾아낸취약점반이상이크롬베타버전향상등보안강화에큰보탬이되었다 덕분에사용자들의불편을미연에방지할수있었다 고평가함 버그크라우드 는 버그바운티는모의침투테스트나보안컨설팅을받는것보다비용적으로저렴하다 현재까지버그바운티시행추이를살펴볼때동일한비용을투자하여 배정도많은취약점을발견할수있었다 라고말함 폴리페이먼트 는 버그바운티를통해 개의버그를발견한데반해두배이상의비용이들어간모의침투테스트에서는몇개의버그만이발견되었다 라고말함 - 4 -
1.3 운영현황 o 보안취약점을악용한침해사고를사전에예방하고취약점발굴에대한보상체계마련을위해 S/W 신규보안취약점신고포상제 를운영 ( 12. 10월 ) 구분 12년 13년 14년 15년합계 신고건수 23 건 179 건 274 건 321 건 797 건 평가건수 18 건 108 건 204 건 251 건 581 건 포상건수 14 건 89 건 177 건 215 건 495 건 KISA 포상금액 1,970 만원 10,685 만원 15,290 만원 18,470 만원 46,415 만원 공동운영사포상금액 - - 1,140 만원 3,440 만원 4,580 만원 전체포상금액 1,970 만원 10,685 만원 16,430 만원 21,910 만원 50,995 만원 한글 ( 14 년 2 분기 ), 네이버 ( 15 년 2 분기 ), 카카오 ( 16 년 1 분기 ) 자사취약점 대해포상금지급 - 한글과컴퓨터 ( 14 년 2 분기 ~), 네이버 ( 15 년 2 분기 ~), 카카오 ( 16 년 1 분기 ~) 는 KISA 신고포상제공동운영사로참여 한컴 의경우지속적인취약점발굴및보완으로최신버전인한글 에서는보안성이강화되었음 취약점신고포상제자문회의 - 5 -
제 2 장 신고포상제절차
제 2 장신고포상제절차 o ( 신고접수 ) 인터넷침해대응센터홈페이지 (www.krcert.or.kr) 의취약점신고코너를 통해메일로접수 < 그림 2-1> 신고포상제신고접수및신고양식 o ( 신고대상 ) 최신버전의소프트웨어에영향을줄수있는신규취약점 홈페이지등현재운영중인서비스에대한취약점은불법적인해킹조장우려및관련법 ( 망법제 48 조 ) 에따른검증권한부재로평가및포상대상에서제외 o ( 취약점평가 ) 검증 1 차평가 2 차평가 3 단계로평가 1 검증 (KISA) : 취약점기본정보파악및신규취약점여부판단 신고된내용만으로검증이불가능한경우보완요청, 신규취약점이아닌경우 신고자에피드백 2 1 차평가 (KISA) : 취약점별분석환경구축 테스트및평가기준기반평가 3 2 차평가 : 외부평가위원회에서 1 차평가결과검토및포상금결정 평가위원은교수, 취약점전문가 ( 화이트해커 ), S/W 제조사등 5 명으로구성하되, 공동운영사제품이포함된경우공동운영사를평가위원에포함 - 7 -
o ( 평가대상 ) 평가일이속한월의 3 개월전의초일부터평가일전월말일까지접수된 취약점중평가요건에부합한건을대상으로함 평가요건 : 최신버전의소프트웨어에영향을줄수있는신규취약점으로국내 파급력이있으며, 외부에공개되지않은취약점 차수평가일접수기간 1 차 3 월둘째주목요일전년 12 월 1 일 ~ 금년 2 월말일 2 차 6 월둘째주목요일금년 3 월 1 일 ~ 금년 5 월 31 일 3 차 9 월둘째주목요일금년 6 월 1 일 ~ 금년 8 월 31 일 4 차 12 월첫째주목요일금년 9 월 1 일 ~ 금년 11 월 30 일 < 신고포상제평가일정 > - 8 -
2.1 취약점평가기준 o ( 기본방향 ) 보안취약점평가국제표준 (CVSS), 해외취약점평가체계 (CWSS) 를기반으로평가기준수립 o ( 평가기준 ) 취약점에영향받는시스템측면에서출현도와영향도를평가하고, 취약점을악용하는정도와취약점발굴수준을평가대분류소분류내용 출현도 보급범위 해당취약점이발견된소프트웨어등제품의보급정도를평가 영향범위침해가능한버전범위 ( 전버전, 일부버전영향정도 ) 기밀성 공격성공시영향받는시스템에끼치는기밀성측면에서의영향 영향도 무결성 가용성 공격성공시영향받는시스템에끼치는무결성측면에서의영향 공격성공시영향받는시스템에끼치는가용성측면에서의영향 공격효과성 발굴수준 피해의심각성접근벡터권한요구도상호작용정도공격의신뢰성발굴난이도문서완성도 공격성공시비즈니스혹은임무에미치게되는잠재적인영향공격을수행하기위한경로의접근용이성정도공격을수행하기위한접근권한의정도공격을성공시키는데피해자의협조적인행동의요구수준취약점을이용하여공격이성공할비율취약점발굴시기술의난이도신고문서에대한내용의충실도및구성의완성도 < 평가항목개요 > - 9 -
2.2 포상금지급기준 o ( 포상기준 ) 평가점수 30점 (100점만점 ) 이상인취약점을대상으로평가점수에따라 차등지급 ( 최소 30만원 ~ 최대 500만원 / 건 ) 점수 포상금액 비고 0~30 미만 - 30~35 미만 30 35~40 미만 60 40~45 미만 90 45~50 미만 120 +30 50~55 미만 150 55~60 미만 180 60~65 미만 210 65~70 미만 240 70~75 미만 280 75~80 미만 320 80~85 미만 360 85~90 미만 400 +40 90~95 미만 440 95~100 미만 480 100 500 +20 < 취약점평가점수별포상금액 > 포상금은분기별평가위원회에서제반사항고려하여최종적으로결정 공동운영사직원및가족, 협력업체직원등회사와이해관계가있는경우포상대상에서제외 무작위대입공격, 서비스거부공격, 제3자의계정이나데이터에접근, 허가되지않은서버침투시도등취약점분석과정에서비즈니스, 서비스, 사용자들에게피해를끼치는경우포상대상에서제외 - 10 -
제 3 장 공동운영사
제 3 장공동운영사 3.1 공동운영협의사항 o ( 업무분장 ) KISA 는취약점접수및평가를실시하며, 공동운영사는취약점평가 회의참석및포상금지급 o 공동운영사는운영시기, 신고대상, 포상대상, 포상금지급방식등을 KISA와협의후결정 - 신고 / 포상대상은공동운영사의일부제품만을대상으로도운영가능 - 포상금지급을위한관련서류는 KISA에서취합후공동운영사에전달 공동운영사혜택 ( 안 ) o 화이트해커및 KISA 를통한취약점분석서비스지원 ( 연 2 회 ) 신규제품 ( 또는서비스 ) 런칭전해당제품에대한취약점분석및조치방법안내 o KrCERT 홈페이지에정보보호활동강화기업홍보 ( 붙임 3 참조 ) o 정보보호대상평가항목 ( 모범사례 ) 에신고포상제운영여부반영등 - 12 -
제 4 장 참고자료
[ 붙임 1] 버그바운티운영의필요성보도자료 국내기업들, 시큐리티버그바운티적극도입해야! ( 데일리시큐, 2013-06-21) 특히 구글은시큐리티버그바운티 (Security Bug Bounty) 제도를도입해취약점을찾아주면돈을준다. OS의메인취약점을찾아주면 8만불, 우리돈으로거의 9천만원에가까운돈을지불하고취약점을산다. 페이스북도마찬가지로취약점을찾아주면돈을주고이과정을통해서비스안정화를도모하고있다. 처음에는취약점이많아돈이많이나가지만점차취약점이줄어들어나중에는지출이줄어들게돼있다. MS도이제도를도입하기로결정했다. 결국미국기업들은서비스안정화를위해아낌없이돈을지불하고결국그투자가비즈니스에도움이된다는것을알고있다 고말했다. 한편한국에대해서도그는 한국도요즘 KISA에서취약점을찾아주면돈을준다. 하지만너무작다. 좀더투자가필요하다. 여전히기업들은취약점을찾아주면싫어한다. 이는 KISA나정부기관보다는한국대기업들이앞장서서제도도입을해야한다 며 특히군내부에서도버그바운티를실시해취약점을찾아주는장병에게휴가를준다든지좋은방향으로사용한다면군시스템안정화에큰도움이되지않을까생각한다. 취약점을방치하면대형사고를당해더큰비용이지출된다는것을알아야한다 고강조했다. - 14 -
[ 붙임 2] 보호나라 &KrCERT 홈페이지게시 신고포상제안내페이지 o 상담및신고 > 취약점신고하단에 포상제운영안내서및공동운영사의정보보호활동안내및게시 - 15 -