Home > 신고포상제 > 보안 취약점 신고포상제
보안 취약점 신고포상제

보안 취약점 신고포상제

보안 취약점 신고포상제란?

  • 소프트웨어 신규 취약점을 발굴하여 신고한 사람에게 포상금을 지급하는 제도
  • 보안 취약점을 악용한 침해사고를 사전에 예방하고, 전문가들의 신규 취약점 발굴을 장려하기 위하여 2012년 10월부터 보안 취약점 신고포상제를 운영하고 있습니다.
  • 포상금 지급을 위한 평가는 분기별로 실시하며, 분기별 우수 취약점을 선정하여 평가 결과에 따라 최고 1,000만원의 포상금이 지급됩니다. 신고포상을 원하는 경우 [취약점 신고자/조회]-취약점 신고에서 관련 항목을 작성해주시기 바랍니다.
    • - 참가대상 : 국내·외 거주하는 한국인
    • - 신고대상 취약점 : '소프트웨어'에 대한 보안 취약점으로 최신버전의 소프트웨어 영향을 줄 수 있는 보안 취약점(제로데이 취약점)
    • ※ 기업에서 자체적으로 취약점 접수를 받고 있는 경우 취약점을 이관합니다.
    • ※ 기타 자세한 사항은 [알림마당] – 자주 묻는 질문, FAQ 참조
    • - 평가 및 포상 일정 : 분기별 평가를 실시하여 포상금을 지급(3, 6, 9, 12월에 평가 및 포상 실시)
    • - 주의사항 : 실제 서비스 중인 웹사이트나 시스템(서버, 네트워크, 보안장비 등)에 정보통신서비스 제공자의 동의를 받지 않고 정당한 접근권한 없이 또는 허용된 접근 권한을 넘어 취약점을 발굴하는 행위는 정보통신망 침입행위로 간주될 수 있으므로 평가 및 포상대상에서 제외됨은 물론, 법에 의해 처벌받을 수 있습니다.
    • (「정보통신망 이용촉진 및 정보보호 등에 관한 법률」 제48조제1항, 제71조제1항제9호및제2항 참고)
    • ※ 서비스 취약점 발굴을 허용하는 공동운영사의 경우 위 내용이 해당되지 않습니다.
    • 다만, 허용된 범위 외의 시스템을 대상으로 한 공격 및 침투와 취약점 발굴을 위한 과도한 스캐닝 및 서비스 거부 공격은 정보통신망 침입 행위로 간주될 수 있습니다.
    • (「정보통신망 이용촉진 및 정보보호등에 관한 법률」 제48조, 제49조, 제71조 참고)

보안 취약점 신고포상제 이점

  • 버그바운티는 정형화된 모의해킹과 달리 수백명의 화이트 해커를 지속적으로 활용하여 다양한 시각의 보안취약점을 발굴함으로써 제품/웹사이트를 개선 할 수 있습니다.
  • 버그바운티 안내서

취약점 포상 제외 사항(’23.11.08 개정)

  • 취약점 신고 당시 보안 업데이트가 나오지 않은 소프트웨어 중 실제 공격에 악용될 수 있는 취약점에 대해 포상금이 지급됩니다.
  • 아래의 경우에는 포상 및 평가 대상에서 제외하며, 일반 신고로 접수되거나 별도의 안내 없이 내부 종결될 수 있습니다.
    • - 실제 서비스 중인 웹 사이트나 시스템(서버, 네트워크, 보안 장비 등)에 정보통신서비스 제공자의 동의를 받지 않고 정당한 접근권한 없이 또는 허용된 접근 권한을 넘어 취약점을 발굴하는 행위는 정보통신망 침입행위로 간주될 수 있으므로 평가 및 포상대상에서 제외됨은 물론, 법에 의해 처벌받을 수 있습니다.
      (「정보통신망 이용촉진 및 정보보호 등에 관한 법률」 제48조제1항, 제71조제1항제9호및제2항 참고)
      ※ 서비스 취약점 발굴을 허용하는 공동운영사의 경우 제외
    • - ActiveX 취약점 (Internet Explorer 지원 종료에 따라 포상 대상에서 제외(2022.9.1~))
    • - 타인이 발견한 취약점, 이미 공개된 취약점, 제조사 폐업, 단종 제품 등 보안 업데이트 개발이 불가능한 제품인 경우
    • - 제조사에 먼저 신고한 취약점, 타 대회 및 버그바운티에 신고, 포상된 취약점일 경우
    • - 아래와 같은 취약점을 신고한 경우
    • - 해당 소프트웨어가 동작함에 있는 필수 요소(OS, 프레임워크 등)의 보안 업데이트를 수행할 때 취약점이 발현되지 않거나 이를 변경 등을 해야만 발생하는 취약점
    • - 사용자의 극단적인 개입이 있어야 악용될 수 있는 취약점(레지스트리 수정 등)
    • - 신고 접수된 정보가 허위 또는 과장되거나 불분명하여 취약점을 파악할 수 없는 경우, 가능성만 제시된 완벽하지 않은 취약점의 경우
    • - 취약점으로 인해 발생할 수 있는 피해가 매우 미미하거나, 공격자 측면에서 신고된 취약점을 굳이 악용에 사용할 필요가 없을 정도로 파급도가 매우 낮은 취약점의 경우
    • - 개념증명코드(Proof Of Concept Code) 제공이 없는 신고
    • - 신고서의 동의 관련 내용을 임의로 변조하여 신고한 경우
    • - 신고 취약점 정보에 대한 신고자 저작권 행사 등을 명시한 경우
    • - 정부 지원 사업*을 통해 발굴된 취약점의 경우 (단, 명예의 전당에 게시)
    •   * 정부 예산이 투입된 연구과제 또는 프로젝트
    • - 모바일 딥링크(Deeplink) 취약점
    • - 정상적인 차량 진단 메시지 관련 기능인 경우
    • - ECU와 CAN-BUS에 Flooding을 통한 DoS 취약점
    • - 유료 소프트웨어를 크랙 등을 통해 불법으로 우회하여 취약점을 찾아 신고한 경우
    • - 지속적으로 취약점에 대해 조치 요청하였으나, 패치 개발이 이루어지지 않고 있어 보안 공지 등으로 주의 권고한 제조사 제품에 해당하는 경우
  • 신고서에 작성한 내용이 사실과 다르게 작성되거나, KISA를 제외한 제3자에게 취약점을 공개한 경우, 비밀유지 의무 등을 위반한 사실이 밝혀진 경우 다음과 같은 불이익을 당할 수 있습니다.
    • - 밝혀진 날로부터 1년 동안 평가 및 포상 대상에서 제외
    • - 해당 취약점으로 이미 포상 받은 경우 포상 취소 및 지급 포상금 전액 환수

취약점 정보 활용 및 비밀유지

  • 신고된 취약점은 포상 관련 평가, 취약점을 보완한 제품 개발(보안 업데이트 개발)을 위해 활용됩니다.
  • 포상은 비공개된 취약점을 대상으로 하며(공개된 취약점은 포상 대상에서 제외), 신고 후에도 아래와 같이 그 어떠한 목적으로도 KISA를 제외한 제3자(제조사 포함)에게 공개할 수 없습니다.
    • - KISA 포상 취약점: 제조사가 보안패치 한 날로부터 120일(4개월) 이전에 외부 공개 불가
    • ※ 공동운영사 포상 취약점인 경우 공동운영사 동의하에 위와 기준 동일
  • 신고서에 작성한 내용이 사실과 다르게 작성되거나, KISA를 제외한 제3자에게 취약점을 공개한 경우, 비밀유지 의무 등을 위반한 사실이 밝혀진 경우 다음과 같은 불이익을 당할 수 있습니다.
    • - 사실 확인일로부터 1년동안 평가 및 포상 대상에서 제외
    • - 해당 취약점으로 이미 포상 받은 경우 포상 취소 및 지급 포상금 전액 환수 및 법적대응
  • 이용자는 동의를 거부할 수 있습니다. 다만, 이 경우 S/W 신규 취약점 신고 서비스의 이용이 불가능 합니다.

이 페이지에서 제공하는 정보에 대하여 어느 정도 만족하셨습니까?