보안 취약점 정보 포털

보안 취약점 신고포상제

보안 취약점 신고포상제란?

소프트웨어 신규 취약점을 발굴하여 신고한 사람에게 포상금을 지급하는 제도
KISA는 보안 취약점을 악용한 침해사고를 사전에 예방하고, 전문가들의 신규 취약점 발굴을 장려하기 위해 2012년 10월부터 보안 취약점 신고포상제를 운영하고 있습니다.
포상금 지급을 위한 평가는 분기별로 실시하며, 분기별 우수 취약점을 선정하여 평가 결과에 따라 최고 1,000만원의 포상금이 지급됩니다. 신고포상을 원하는 경우 [취약점 신고자/조회]-취약점 신고에서 관련 항목을 작성해주시기 바랍니다.
- - 참가대상 : 국내·외 거주하는 한국인
- - 신고대상 취약점 : ‘소프트웨어’에 대한 보안 취약점으로 최신버전의 소프트웨어 영향을 줄 수 있는 보안 취약점(제로데이 취약점)
- ※ 기업에서 자체적으로 취약점 접수를 받고 있는 경우 취약점 이관
- ※ 기타 자세한 사항은 [알림마당] – 자주 묻는 질문 참조
- - 평가 및 포상 일정 : 분기별 취약점 평가를 실시하여 포상금 지급(3, 6, 9, 12월에 평가 및 포상 실시)
- ￮ 1분기 : 전년 12월 1일 ~ 금년 2월 말일
- ￮ 2분기 : 금년 3월 1일 ~ 금년 5월 31일
- ￮ 3분기 : 금년 6월 1일 ~ 금년 8월 31일
- ￮ 4분기 : 금년 9월 1일 ~ 금년 11월 30일
- - 신고유형
- ￮ 신고포상제 : 취약점 신고에 따라 포상금 지급
- ￮ 일반신고 : 공익 목적으로 취약점 신고 (포상금 미지급)
- - 신고 유의사항
- ￮ 비회원 신고는 신고포상제 평가 및 포상대상에서 제외되며 취약점 신고결과 조회 불가능
- ￮ 취약점 신고내용 및 첨부파일(보고서 표지, 본문 등)에 개인정보가 포함되지 않도록 작성
- ￭ 캡처된 화면의 파라미터값에 이름, 이메일, 전화번호, 소속 등이 포함되는 경우 제조사·개발사·벤더사에 개인정보가 노출될 수 있음
- - 주의사항 : 실제 서비스 중인 웹사이트나 시스템(서버, 네트워크, 보안장비 등) 에 정보통신서비스 제공자의 동의를 받지 않고 정당한 접근권한 없이 또는 허용된 접근 권한을 넘어 취약점을 발굴하는 행위는 정보통신망 침입행위로 간주될 수 있으므로 평가 및 포상대상에서 제외됨은 물론, 법에 의해 처벌받을 수 있습니다.
- ※ 「정보통신망 이용촉진 및 정보보호 등에 관한 법률」 제48조제1항, 제71조제1항제9호및제2항 참고
- ￮ 서비스 취약점 발굴을 허용하는 공동운영사의 경우 위 내용이 해당되지 않습니다.
- ￭ 다만, 허용된 범위 외의 시스템을 대상으로 한 공격 및 침투와 취약점 발굴을 위한 과도한 스캐닝 및 서비스 거부 공격은 정보통신망 침입 행위로 간주될 수 있습니다.
- ￭ (「정보통신망 이용촉진 및 정보보호등에 관한 법률」 제48조, 제49조, 제71조 참고)/li>
￮ 자세한 사항은 하단의 보안 취약점 신고포상제 운영 안내서를 참고해 주시기 바랍니다.

보안 취약점 신고포상제 이점

버그바운티는 정형화된 모의해킹과 달리 수백명의 화이트 해커를 지속적으로 활용하여 다양한 시각의 보안취약점을 발굴함으로써 제품/웹사이트를 개선 할 수 있습니다.
보안 취약점 신고포상제 운영 안내서

취약점 포상 제외사항(’25.10.22 개정)

취약점 신고 당시 보안 업데이트가 나오지 않은 소프트웨어 중 실제 공격에 악용될 수 있는 취약점에 대해 포상금이 지급됩니다.

아래의 경우에는 포상 및 평가 대상에서 제외하며, 일반신고로 접수되거나 별도의 안내 없이 내부 종결될 수 있음
- - 실제 서비스 중인 웹 사이트나 시스템(서버, 네트워크, 보안 장비 등) 에 정보통신서비스 제공자의 동의를 받지 않고 정당한 접근권한 없이 또는 허용된 접근 권한을 넘어 취약점을 발굴하는 행위는 정보통신망 침입행위로 간주될 수 있으므로 평가 및 포상대상에서 제외됨은 물론, 법에 의해 처벌받을 수 있습니다.
  ※ 「정보통신망 이용촉진 및 정보보호 등에 관한 법률」 제48조제1항, 제71조제1항제9호및제2항 참고
  ※ 서비스 취약점 발굴을 허용하는 공동운영사의 경우 제외
- - ActiveX 취약점 (Internet Explorer 지원 종료에 따라 포상 대상에서 제외, 2022.9.1~)
- - 타인이 발견한 취약점, 이미 공개된 취약점, 제조사 폐업, 단종 제품 등 보안 업데이트 개발이 불가능한 제품인 경우
- - 제조사에 먼저 신고한 취약점, 타 대회 및 버그바운티에 신고, 포상된 취약점일 경우
- - Open Redirect, Reflected XSS, DLL 하이재킹, 스마트폰에 루팅이 필요한 취약점, 중간자 공격(Man In The Middle), Self XSS 취약점
- - 해당 소프트웨어가 동작함에 있는 필수 요소(OS, 프레임워크 등)의 보안 업데이트를 수행할 때 취약점이 발현되지 않거나 이를 변경 등을 해야만 발생하는 취약점
- - 사용자의 극단적인 개입이 있어야 악용될 수 있는 취약점(레지스트리 수정 등)
- - 신고 접수된 정보가 허위 또는 과장되거나 불분명하여 취약점을 파악할 수 없는 경우, 가능성만 제시된 완벽하지 않은 취약점의 경우
- - 취약점으로 인해 발생할 수 있는 피해가 매우 미미하거나, 공격자 측면에서 신고된 취약점을 굳이 악용에 사용할 필요가 없을 정도로 파급도가 매우 낮은 취약점의 경우
- - 개념증명코드(Proof Of Concept Code) 제공이 없는 신고
- - 신고서의 동의 관련 내용을 임의로 변조하여 신고한 경우
- - 신고된 취약점 정보에 대한 신고자 저작권 행사 등을 명시한 경우
- - 정부 지원 사업*을 통해 발굴된 취약점의 경우 (단, 명예의 전당에 게시)
- * 정부 예산이 투입된 연구과제 또는 프로젝트
- - 모바일 딥링크(Deeplink) 취약점
- - 정상적인 차량 진단 메시지 관련 기능인 경우
- - ECU와 CAN-BUS에 Flooding을 통한 DoS 취약점
- - Application 유형의 DoS 취약점 (단, 백신 제품의 DoS 취약점은 평가대상으로 포함하되 블루스크린(BSOD)를 발생시키는 취약점은 제외)
- - 유료 소프트웨어를 크랙 등을 통해 불법으로 우회하여 취약점을 찾아 신고한 경우
- - 국내 총판 및 관리 또는 유지보수 업체 등이 존재하지 않는 해외 소프트웨어 취약점
- - 지속적으로 취약점에 대해 조치 요청하였으나, 패치 개발이 이루어지지 않고 있어 보안 공지 등으로 주의 권고한 제조사 제품에 해당하는 경우
- - 에러 페이지 노출 취약점 (서버 버전정보·제품명 등 노출된 정보만으로 실질적인 피해가 발생할 가능성이 낮은 경우)
- - 내부 정보 활용, 사전 공모 등 부정한 사유로 정보보호 취약점 정보를 획득하여 신고한 경우
- - 제도 운영과 직접적인 관련이 있는 자가 자기의 직무 또는 직무였던 사항과 관련하여 신고한 경우
- - 동일한 원인으로 다른 법령에 따른 포상금을 지급받았거나 지급절차가 진행 중인 경우
- - 그 밖에 유사한 사유로 포상금을 지급하는 것이 부적절하다고 판단하는 경우

취약점 정보 활용 및 비밀유지

신고된 취약점은 포상 관련 평가, 취약점을 보완한 제품 개발(보안 업데이트 개발)을 위해 활용됩니다.

포상은 비공개된 취약점을 대상으로 하며(공개된 취약점은 포상 대상에서 제외), 신고 후에도 아래와 같이 그 어떠한 목적으로도 KISA를 제외한 제3자(제조사 포함)에게 공개할 수 없습니다.
- ￮ KISA 포상 취약점 : 제조사가 보안 패치한 날로부터 90일(3개월) 이전에 외부 공개 불가
- ￮ 공동운영사 포상 취약점 : 공동운영사의 동의가 있는 경우에만 공개 가능

신고서에 작성한 내용이 사실과 다르게 작성되거나, KISA를 제외한 제3자에게 취약점을 공개한 경우, 비밀유지 의무 등을 위반한 사실이 밝혀진 경우 다음과 같은 불이익을 당할 수 있습니다.
- ￮ 사실 확인일로부터 1년동안 평가 및 포상 대상에서 제외
- ￮ 해당 취약점으로 이미 포상 받은 경우 포상 취소 및 지급 포상금 전액 환수 및 법적대응

이용자는 동의를 거부할 수 있으나, 이 경우 보안 취약점 신고 서비스 이용이 불가능합니다.

이 페이지에서 제공하는 정보에 대하여 어느 정도 만족하셨습니까?

매우 만족 만족 보통 불만족 매우 불만족