슬라이드 1

Similar documents
제 1 장개요 1 1. 신고포상제배경 2 2. 운영효과 4 3. 운영현황 5 제 2 장신고포상제절차 7 1. 취약점평가기준 9 2. 포상금지급기준 10 제 3 장공동운영사 공동운영협의사항 12 제 4 장참고자료 14

** 5 개이발생한주요소프트웨어별취약점세 EDB 번호취약점종류공격난이도공격위험도취약점이름소프트웨어이름


歯MW-1000AP_Manual_Kor_HJS.PDF

EDB 분석보고서 (04.06) ~ Exploit-DB( 에공개된별로분류한정보입니다. Directory Traversal users-x.php 4.0 -support-x.php 4.0 time-

목차 Ⅰ. 기본현황 Ⅱ 년도성과평가및시사점 Ⅲ 년도비전및전략목표 Ⅳ. 전략목표별핵심과제 1. 군정성과확산을통한지역경쟁력강화 2. 지역교육환경개선및평생학습활성화 3. 건전재정및합리적예산운용 4. 청렴한공직문화및앞서가는법무행정구현 5. 참여소통을통한섬


1 SW

SW

취약점분석보고서 [Photodex ProShow Producer v ] RedAlert Team 안상환

EDB 분석보고서 (04.03) ~ Exploit-DB( 에공개된별로분류한정보입니다. ** 5개이상발생한주요소프트웨어별상세 EDB 번호 종류 공격난이도 공격위험도 이름 소프트웨어이름 3037 SQL Inj

untitled

한눈에-아세안 내지-1


COVER.HWP

이슈분석 2000 Vol.1

가볍게읽는-내지-1-2

kbs_thesis.hwp


< FBFF9B0A320BEC7BCBAC4DAB5E520C0BAB4D0BBE7C0CCC6AE20C5BDC1F620B5BFC7E220BAB8B0EDBCAD283131BFF E302028C8A8C6E4C0CCC1F620BEF7B

EDB 분석보고서 (04.09) ~ Exploit-DB( 에공개된취약점별로분류한정보입니다 SQL Injection Like Dislike Counter..3 Plugin - ajax_coun

PowerPoint 프레젠테이션

< 목차 > 1. 악성코드은닉동향요약 1 2. 홈페이지은닉형악성코드통계 2 - 유포지탐지 국가별현황 2 - 대량경유지가탐지된유포지 TOP 악성코드유형별비율 4 - 악성코드취약점유형별비율 4 - 악성코드수집및분석결과 5 - 경유지탐지 업종별비율 9 3. 악성코

KARAAUTO_4¿ù.qxd-ÀÌÆå.ps, page Normalize


untitled

2006_8_14 (8_17 updated) ms ¿ú(wgareg.exe) ºÐ¼® º¸°í¼�.hwp



m (-6933, `12.5.2) ( ),,,,.,. 2 2 ( ) 1 2 (( 高 ) M10 110) 2,280, H, H.. - (, ) H, H, H. - ( 引拔 ), H,. (-6933, `12.5.2) ( ),. 3 (2,280), (, ) ( 共

취약점분석보고서 Simple Web Server 2.2 rc2 Remote Buffer Overflow Exploit RedAlert Team 안상환

본문-4도시작***

-. BSE ( 3 ) BSE. ㆍㆍ ( 5 ). ( 6 ) 3., ( : , Fax : , : 8 177, : 39660).. ( ). ( ),. (


날짜 EDB 번호취약점분류공격난이도공격위험도취약점이름핵심공격코드대프로그램대환경 Directory Traversal 하 EDB 분석보고서 (05.0) ~ Exploit-DB( 에공개된취약

ePapyrus PDF Document

인도 웹해킹 TCP/80 apache_struts2_remote_exec-4(cve ) 인도 웹해킹 TCP/80 apache_struts2_remote_exec-4(cve ) 183.8

품질검증분야 Stack 통합 Test 결과보고서 [ The Bug Genie ]

PowerPoint 프레젠테이션

Microsoft PowerPoint ISS_ ( , , v2.1).ppt


지능형전력망의구축및이용촉진에관한법률시행 지능형전력망의구축및이용촉진에관한법률시행령 [ 시행 ] [ 대통령령제25840호, , 타법개 산업통상자원부 ( 전력진흥과 ) 제1장총칙 제 1 조 ( 목적 ) 이영은 지능형전력망의

*****

EDB 분석보고서 (06.07) ~ Exploit-DB( 에공개된취약점별로분류한정보입니다 SQL Injection 하중 index.php SQL Injection 취

IPv6 보안취약점동향 인터넷주소산업팀 정유경선임연구원, 김웅상책임연구원, 임준형팀장 2014년 9월, 국내 IPv6 상용서비스의개시와함께 IPv6 도입및전환이시작되었다. 국내외적으로 IPv6로의전환에따른관련통계자료들이증가추세를보이며실제환경속으로 IPv6주소가들어오고있

여수신북항(1227)-출판보고서-100부.hwp

리눅스 취약점대응방안권고 / KISA 취약점점검팀 영향받는플랫폼 OS, FAQ 추가 개요 미국보안회사 에의해 시스템의 라이브러리 의특정함수에서임의코드를실행할수있는취약점이공개 해당취약점은 CVE 지정, 도메인네임을

EDB 분석보고서 (0.0) 0.0.0~0.0. Exploit-DB( 에공개된별로분류한정보입니다. 날짜 EDB 번호분류공격난이도공격위험도이름핵심공격코드대상프로그램대상환경 SQL Injection 중상 Absolu

2018 년 SW 개발보안교육과정안내 행정안전부와한국인터넷진흥원은행정기관등의정보시스템담당공무원및 개발자를대상으로 SW 개발보안에대한이해증진및전문역량강화를위해아래와 같은교육을실시하오니, 관심있으신분들의많은참여부탁드립니다 년 SW 개발보안일반과정 교육대상 : 전


PowerPoint 프레젠테이션

untitled

<BAB8BEC8C0CEB4E5C4C43131C8A35F D30355F E312E687770>

EDB 분석보고서 (06.03) ~ Exploit-DB( 에공개된별로분류한정보입니다. 날짜 EDB 번호분류공격난이도공격위험도이름핵심공격코드대프로그램대환경 File Upload 하 C

정치사적

인터넷법제동향 제 호 인터넷법제동향제 60 호 2012 년 9 월호

경북지역일자리공시제내실화방안

2015 년 SW 개발보안교육과정안내

< FC8A8C6E4C0CCC1F620B0B3B9DF20BAB8BEC8B0A1C0CCB5E5C3D6C1BE28C0FAC0DBB1C7BBE8C1A6292E687770>

발간등록번호대한민국의새로운중심 행복도시세종 2015 년기준 사업체조사보고서 Report of The Census on Establishments

국가정보보호백서 제1장 정보환경 변화와 정보보호 정보통신기술은 우리에게 보다 나은 미래를 제공해주는 원동력이자 현대사회에서 없어서는 안 될 필수불가결한 사회기반으로 여겨지고 있다. 또한 정보통신기술은 경제 성장의 원천이 되고 있으 며 사회 시스템의 효율성을

Microsoft Word FCKeditor.doc

PowerPoint 프레젠테이션

5th-KOR-SANGFOR NGAF(CC)


최종_백서 표지

1

취약점분석보고서 [CyberLink Power2Go name attribute (p2g) Stack Buffer Overflow Exploit] RedAlert Team_ 강동우

슬라이드 1

<4D F736F F F696E74202D E20C0CEC5CDB3DD20C0C0BFEB20B9D720BCADBAF1BDBA20B1E2BCFA E >

미래인터넷과 창조경제에 관한 제언 65 초록 과학기술과의 융합을 통해 창조경제를 이루는 근간인 인터넷은 현재 새로운 혁신적 인터넷, 곧 미래인터넷으로 진화하는 길목에 있다. 창조와 창업 정신으로 무장하여 미래인터넷 실현에 범국가적으로 매진하는 것이 창조경제 구현의 지름

정보보호 뉴스레터

52 l /08

대한주택보증 ( 주 ) 대한주택보증

wtu05_ÃÖÁ¾

경북자동차부품관련연구소의효율적 운영방안

Inside Android Applications

방송통신기술이슈 & 전망 2013 년제 3 호 요약 이란원자력발전시설해킹 스턱스넷사건 해킹등으로널리알려진 공격이란 목표를정하여 복합적이고지능적인수단으로써 지속적으로 위협을일으키는해킹공격이라개념지을수있다 공격에의한피해양상은 피해기관소유의정보에대하여피해가발생하는경우와제 자


<4D F736F F D20C3D6BDC C0CCBDB4202D20BAB9BBE7BABB>

XSS Attack - Real-World XSS Attacks, Chaining XSS and Other Attacks, Payloads for XSS Attacks

KTIS SSR(월간보안관제보고서)

개인정보보호의 이해 및 안전한 관리 - 개인PC 및 스마트폰 개인정보보호-

76 XSS 하 Huge-IT Slider admin.php XSS

목차 개요 앱생태계개요 용어정의 기본원칙 적용범위 스마트폰의범위 동의대상접근권한의범위 정보와기능의범위 적용시기 사업자유형별준수사항 앱서비스제공자 운영체제공급자 스마트폰제조업자 앱개발자 앱마켓사업자 이용자의접근권한통제방법 접근권한고지내용확인 접근권한동의여부선택 접근권한의

<443A5CB1E8C7F6C1D85CB1E8C7F6C1D85FB0E6B8AE5CBDC5B0E8BEE0BCADB7F95C F492E2E2E5F53724D E A5A >

암호내지

슬라이드 1



대전지방법원 제 1 2 민사부 판 결 사 건 2012가합 손해배상 ( 기 ) 2012가합102449( 병합 ) 손해배상 ( 기 ) 원 고 별지원고명단기재와같다. 원고 A, B, C, D을제외한나머지원고들소송대리인법무법인유능담당변호사남광진 피 고 乙주식회사소송

1

2016년 신호등 4월호 내지A.indd

신규투자사업에 대한 타당성조사(최종보고서)_v10_클린아이공시.hwp

SANsymphony-V

1. 불건전정보 (1) 불건전정보의의미 불건전정보란사회의발전을저해하고사회에피해를가져오는정보를 의미하며, 불건전한정보중에는법으로금지되어있는정보를유포하는 불법정보와다른사람이나사회에피해를주는유해정보가포함됩니다. 유해정보 : 허가는되어있지만유통은제한되며, 콘텐츠의출판은허용되나

<B9CCB8AE20B3EBB5BFB9FDB0B3C1A420C0EFC1A1BBE7C7D720B1B9C1A6BAF1B1B B9DAB9CCB8AE292E687770>

ìœ€íŁ´IP( _0219).xlsx

Ⅰ Ⅱ Ⅲ Ⅳ

Microsoft PowerPoint - G3-2-박재우.pptx

Transcription:

SW 보안취약점 신고포상제소개 한국인터넷진흥원신대규단장 kshin@kisa.or.kr

차례 I. 버그바운티배경및필요성 II. III. IV. 국외버그바운티운영현황 국내버그바운티운영현황 KISA 버그바운티운영 V. 취약점발굴활성화 / 조치 대응강화 Page 2

I. 버그바운티배경및필요성 - 개요 버그바운티 (Bug Bounty) 란? - 웹서비스또는소프트웨어의취약점을찾아낸사람에게포상금을지급하는제도 화이트해커 : 개인역량및인지도상승, 실질적포상 기업 : 취약점업데이트, 보안위협대응, 비용절감, S/W 품질향상, 기업가치제고 취약점분석, 리포트제출 화이트해커 기업 취약점수준에따른보상제공 Page 3

I. 버그바운티배경및필요성 - 운영효과 캘리포니아대학의 취약점보상프로그램실증적연구 결과지난 3년간구글, 모질라의버그바운티제도가보안연구비를절감하고대량의취약점을발견하는데효율적이라고밝힘 ( 13년) 버그바운티운영효율성 구분 구글크롬 모질라파이어폭스 자체발굴버그바운티자체발굴버그바운티 취약점건수 263 371 48 148 지출비용 547,500 393,161 547,500 444,000 취약점건당지출비용 2,082 1,060 11,406 3,000 자체발굴지출비용의경우보안팀직원하루일당 $500 * 365 일 * 3 년으로작성 $485 $658 << 일평균취약점보상프로그램지출비용 Page 4

II. 국외버그바운티운영현황 참여기업현황 구글, MS 등해외주요기업들은자사제품 서비스의취약점발굴및보안강화를위해다양한버그바운티프로그램운영 - S/W 외에온라인서비스버그바운티를도입하는기업이증가 * SW 취약점 : Netscape(1995), Mozilla Firefox(2004.9), Google Chromium(2010.1) * 온라인서비스취약점 : Google Web(2010.11), Mozilla Web(2010.12), Facebook( 2011) 어도비, 트위터, 야후등은버그바운티운영대행사를통해버그바운티참여 Page 5

III. 국내버그바운티운영현황 - 국내전체 문제점 자사제품 / 서비스에대한체계적인취약점대응을해야겠다는기업들의의지및인식부족 자사제품 / 서비스에대한취약점이없다는자신감결여, 자사개발자에의한취약점신고악용우려등 운영현황 KISA : 06년시작 ( 포상금 X), 12년 10월부터최고 500만원까지포상금지급 삼성전자 ( 12년) : 스마트 TV 분야버그바운티운영, $1,000+@ 취약점신고포상제참여 : 한글과컴퓨터 ( 14년), 네이버 ( 15년), 카카오 ( 16년) Page 6

IV. KISA 버그바운티운영 정책방향 화이트해커양성, 침해사고예방 ( 취약점사전조치등 ) 목적으로신고포상제운영 기업주도버그바운티가활성화되기전까지 KISA 에서주도로포상제운영 기업참여활성화를위해신고된기업대상버그바운티참여설득노력중 취약점조치및공지에대한법적근거 ( 정보통신망법 ) 시행령제 56 조 ( 침해사고대응조치 ) 법제 48 조의 2 제 1 항제 4 호에서 " 그밖에대통령령으로정한침해사고대응조치 " 란다음각호의조치를말한다. ( 중략 ) 2. 소프트웨어산업진흥법 제 2 조제 4 호에따른소프트웨어사업자중침해사고와관련이있는소프트웨어를제작또는배포한자에대한해당소프트웨어의보안상취약점을수정 보완한프로그램 ( 이하 " 보안취약점보완프로그램 " 이라한다 ) 의제작 배포요청및정보통신서비스제공자에대한보안취약점보완프로그램의정보통신망게재요청 ( 하략 ) 제 47 조의 4( 이용자의정보보호 ) 3 소프트웨어산업진흥법 제 2 조에따른소프트웨어사업자는보안에관한취약점을보완하는프로그램을제작하였을때에는한국인터넷진흥원에알려야하고, 그소프트웨어사용자에게는제작한날부터 1 개월이내에 2 회이상알려야한다. 제 76 조 ( 과태료 ) 2 다음각호의어느하나에해당하는자에게는 2 천만원이하의과태료를부과한다. ( 중략 ) 10. 제 47 조의 4 제 3 항을위반하여소프트웨어사용자에게알리지아니한자 ( 하략 ) Page 7

IV. KISA 버그바운티운영 운영정책 KISA 포상은제조사가보안패치한날로부터 120 일 (4 개월 ) 이전에외부공개불가 신고내용이다르게밝혀지거나, 제 3 자에게공개한경우포상대상제외및환수 취약점을이용한공격코드 (Exploit Code) 별로제출시, 기술가산점부여 Page 8

IV. KISA 버그바운티운영 - 개요 포상대상 : 최신버전의소프트웨어에영향을줄수있는신규보안취약점 ( 제로데이취약점 ) 홈페이지취약점등현재운영중인서비스나시스템에대한취약점은평가및포상대상에서제외 ( 망법 48조 ) 포상지급 : 분기별취약점평가실시, 평가결과에따라최소 30만원 ~ 최고 500만원까지포상 평가기준 : 출현도, 영향도, 공격효과성, 발굴수준 보안취약점평가국제표준 (CVSS), 해외취약점평가체계 (CWSS) 기반평가척도설정 정보통신망법제 48 조 제 48 조 ( 정보통신망침해행위등의금지 ) 1 누구든지정당한접근권한없이또는허용된접근권한을넘어정보통신망에침입하여서는아니된다. 2 누구든지정당한사유없이정보통신시스템, 데이터또는프로그램등을훼손 멸실 변경 위조하거나그운용을방해할수있는프로그램 ( 이하 " 악성프로그램 " 이라한다 ) 을전달또는유포하여서는아니된다. 3 누구든지정보통신망의안정적운영을방해할목적으로대량의신호또는데이터를보내거나부정한명령을처리하도록하는등의방법으로정보통신망에장애가발생하게하여서는아니된다. 발굴수준 발굴난이도, 문서완성도 출현도보급범위, 영향범위 공격난이도 취약점평가 영향도 공격벡터, 권한요구상호작용, 공격신뢰성 기밀성, 무결성가용성, 피해심각성 Page 9

IV. KISA 버그바운티운영 평가기준수립 CVSS Common Vulnerability Scoring System : 보안취약점을일관성있는공통요소로판단하여점수화하는국제표준 (ITU-T X.1521) 프레임워크 FIRST에서관리하며 2005년부터사용된버전 2.0이현재사용되고있으며 14년에버전 3.0이발표 CWSS CWSS(Common Weakness Scoring System) : 미국국토안보부의국가사이버보안부서 (National Cyber Security Division) 의지원을받아고안된취약점점수화프레임워크 국가사이버보안부서는美국토안보부소속으로 CWE(Common Weakness Enumeration) 프로젝트수행 KISA 취약점평가기준 CVSS 와 CWSS 에서평가항목, 평가방법을선별적으로참고하여국내환경에맞게적용 CVSS * 영향도 ( 기밀성, 무결성, 가용성 ), * 공격난이도 ( 공격벡터 ) CWSS * 출현도 ( 보급범위, 영향범위 ), * 영향도 ( 피해심각성 ), * 공격난이도 ( 공격신뢰성, 상호작용정도, 권한요구도 ), * 발굴수준 ( 발굴난이도 ) Page 10

IV. KISA 버그바운티운영 - 평가기준 총점 = ( 출현도점수 * 영향도점수 * 공격난이도점수 * 0.7 ) + {( 발굴난이도 + 발굴완성도 ) * 0.5 * 0.3} * 100 대분류소분류개요 출현도 보급범위 영향범위 해당취약점이발견되는소프트웨어등의제품의보급정도를평가 취약점을가진소프트웨어에서실제침해영향을미치는버전, 설정 실행환경 영향도 기술적영향 피해의심각성 공격벡터 취약점을이용한공격이성공하였을때시스템에끼치는기밀성, 무결성, 가용성측면의영향취약점을이용한공격이성공하였을때피해시스템 ( 또는기관인프라, 국민 ) 에미치는잠재적영향취약점을이용하여침해를수행하기위해요구되는접근제한성 공격 난이도 권한요구도 상호작용정도 공격자가취약점에대한공격을수행하기위하여필요한권한 취약점을이용한공격이수행되기위해요구되는피해자협력정도 공격의신뢰성 표준적공격방법존재여부및공격성공확률 발굴 수준 발굴난이도 발굴완성도 취약점발굴기술난이도 취약점신고문서내용, 구성충실도, exploit 코드제공수준 Page 11

IV. KISA 버그바운티운영 -( 세부평가기준 1) Page 12

IV. KISA 버그바운티운영 -( 세부평가기준 2) Page 13

IV. KISA 버그바운티운영 통계 ( 신고 / 평가 / 포상 ) 월간평균 24 개, 총 1,087 건취약점접수및처리 취약점평가를통해총 677 건포상 (66,165 만원 ) 총신고자수는 268 명, 동일인최다신고는 46 건 취약점신고 / 평가 / 포상추이 ('12.10~'16.05) 350 321 25,000 300 250 200 179 274 16,430 204 177 251 21,910 215 290 232 15,170 182 20,000 15,000 150 100 108 10,685 89 10,000 5,000 50 23 18 1,970 14-2012 년 2013 년 2014 년 2015 년 ~2016 년 2 차신고건수평가건수포상건수포상금액 - Page 14

IV. KISA 버그바운티운영 통계 ( 분야 ) 16 년도상반기 IoT(41%) > Application(28%) > CMS(15%) > ActiveX(10%) > Service(6%) IoT 취약점 : 공유기 (44%) > IP 카메라 (22%) > 앱 (17%) > NAS(14%) 현재 IoT 취약점이 Application 보다많이들어오고있으며, IoT 컨트롤러등이새롭게접수됨 IoT 컨트롤러 2% NAS 14% 스마트 TV 1% 취약점분류별신고추이 ('12.10~'16.05) 앱 17% 공유기 [ 백분율 ] IP 카메라 22% Page 15

V. 취약점발굴활성화 / 조치 대응강화 신고포상제활성화 신고포상제참여기업확대 - 신고포상제공동운영안내서제작및 KrCert 게시 ( 16.6) - 신고포상제민간기업참여를위한혜택방안마련 자사취약점영구공개불가, KrCERT 홈페이지내주요정보보호활동강화기업노출, 화이트해커및 KISA를통한분석서비스지원, 정보보호대상평가시가산점부여등 KISA 로신고된취약점신고및포상이많은기업대상설득유도 (1 차대기업 -> 중기업으로확대 ) Page 16

V. 취약점발굴활성화 / 조치 대응강화 화이트해커양성화 화이트해커인재풀시스템구축 ( 기취약점신고한전문가로구성 ) 및활용확대 각종신고포상제안내등관련정보제공하고우수취약점신고포상제, 명예의전당등진행및활용 취약점조치 대응강화 7-2-1 정책확립 - 7일이내조치계획접수 (SW 제조사 KISA) - 2개월이내보안패치개발 (SW 제조사 ) 업체요구시 ( 또는필요시 ) 1개월연장 7-2-1 정책미준수시취약점및해당 SW 제조사공개 Page 17

Q&A Page 18

감사합니다. Page 19

2024 © docsplayer.org 개인정보보호 | 약관 | 지원