# \[KISA] 사이버 보안 취약점 정보 포털(Security BugBounty) ## 사이버 보안 취약점 정보 포털이란? > 한국인터넷진흥원에서는 보안 취약점 사전 발굴 및 조치를 위해 보안 취약점 신고 포상제를 운형하고, 핵더챌린지 플랫폼을 통해 보안 취약점 전문가가 신속하게 취약점을 발굴할 수 있는 환경을 제공합니다. > > 또한 취약점 사고 재발 방지를 위해 보안 취약점 정보 관리 체계를 구축하여 국/내외 취약점 정보를 제공합니다. ## 취약점 소개 ### KISA 취약점 처리 절차 > 1. 입수 단계 > * 내부 입수, 신고포상제(KrCERT), 외부신고(118), 유관기관 공유 등을 통해 취약점 접수 > 2. 분석 단계 > * 신고자의 신고 내용(보고서, 이메일 등)을 바탕으로 취약점 분석(신규취약점 여부, 취약점 파급도 등) > 3. 대응 단계 > * 제조사에 취약점 조치를 요청하고, 보안 패치 개발 및 검증 > * 해외 제품의 취약점인 경우 해외CERT 또는 해당 제조사에 취약점 관련 정보 전달 > 4. 공유 단계 > * 국내 파급력이 높다고 판단되는 취약점의 경우 유관기관 정보공유 및 대국민 보안공지 > * (정보공유) 취약한 제품 사용하는 기관 중 금융, 공공, 교육기관이 존재하는 경우, 취약점 관련 정보를 전달 > * (보안공지) 피해 규모 및 위험도를 고려하여 일반 사용자가 다수 포함되어 있는 경우 대국민 긴급 보안공지 > * ※ 언론보도, 취약점 포털 및 보호나라 홈페이지 보안공지 게시 등 대국민 안내.

### 핵더챌린지 분석 플랫폼 > 1. 개요 > * 신규 보안취약점 신속 발굴 및 조치를 위해 보안전문가들의 집단지성을 활용한 클라우드 기반의 핵더챌린지 분석 플랫폼 구축 > * 중앙관리SW, 출시 전 제품, 홈페이지 등 취약점발굴이 어려운 SW를 클라우드 서버에 설치 후 보안전문가에게 제공하여 신규 취약점 발굴 > * > ``` >

> ``` > 2. 주요 내용 > * 분석대상 SW 개방 > * 클라우드 기반의 서버제공으로 분석대상 SW를 사전 설치 후 민간 보안전문가에게 개방 > * ※ 분석대상 SW 설치 시 기업의 취약점 분석 동의 후 민간 보안전문가에게 개방 > * 취약점 발굴 > * 민간보안전문가에게 취약점 분석환경이 구성된 가상데스크톱을 제공하여 분석대상 SW의 신규 취약점 발굴 진행 > * ※ 취약점 분석 환경에 대한 로그 관리, 정보 유출 방지 등 강화된 보안 관리 기능 ### 취약점 관련 법률 > 한국인터넷진흥원은 아래와 같은 법령을 근거로 하여 보안 취약점 개선 및 대응을 위한 업무를 수행하고 있습니다. #### 보안 취약점 개선 및 대응 관련 > **정보통신망 이용촉진 및 정보보호 등에 관한 법률** > > * **제47조의4(이용자의 정보보호)** > * 정부는 이용자의 정보보호에 필요한 기준을 정하여 이용자에게 권고하고, 침해사고의 예방 및 확산 방지를 위하여 취약점 점검, 기술 지원 등 필요한 조치를 할 수 있다. > * 정부는 제1항에 따른 조치에 관한 업무를 한국인터넷진흥원 또는 대통령령으로 정하는 전문기관에 위탁할 수 있다. \[신설 2020. 6. 9.] > * 주요정보통신서비스 제공자는 정보통신망에 중대한 침해사고가 발생하여 자신의 서비스를 이용하는 이용자의 정보시스템 또는 정보통신망 등에 심각한 장애가 발생할 가능성이 있으면 이용약관으로 정하는 바에 따라 그 이용자에게 보호조치를 취하도록 요청하고, 이를 이행하지 아니하는 경우에는 해당 정보통신망으로의 접속을 일시적으로 제한할 수 있다. \[개정 2020. 6. 9.] > * 「소프트웨어 진흥법」 제2조에 따른 소프트웨어사업자는 보안에 관한 취약점을 보완하는 프로그램을 제작하였을 때에는 한국인터넷진흥원에 알려야 하고, 그 소프트웨어 사용자에게는 제작한 날부터 1개월 이내에 2회 이상 알려야 한다. \[개정 2009. 4. 22., 2020. 6. 9.] > * 「제3항에 따른 보호조치의 요청 등에 관하여 이용약관으로 정하여야 하는 구체적인 사항은 대통령령으로 정한다. \[개정 2020. 6. 9.] > * **제48조의2(침해사고의 대응 등)** > * 과학기술정보통신부장관은 침해사고에 적절히 대응하기 위하여 다음 각 호의 업무를 수행하고, 필요하면 업무의 전부 또는 일부를 한국인터넷진흥원이 수행하도록 할 수 있다. \[개정 2009. 4. 22., 2013. 3. 23., 2017. 7. 26.] > > 1\. 침해사고에 관한 정보의 수집ㆍ전파 > > 2\. 침해사고의 예보ㆍ경보 > > 3\. 침해사고에 대한 긴급조치 > > 4\. 그 밖에 대통령령으로 정하는 침해사고 대응조치 > * 다음 각 호의 어느 하나에 해당하는 자는 대통령령으로 정하는 바에 따라 침해사고의 유형별 통계, 해당 정보통신망의 소통량 통계 및 접속경로별 이용 통계 등 침해사고 관련 정보를 과학기술정보통신부장관이나 한국인터넷진흥원에 제공하여야 한다. \[개정 2009. 4. 22., 2013. 3. 23., 2017. 7. 26.] > > 1\. 주요정보통신서비스 제공자 > > 2\. 집적정보통신시설 사업자 > > 3\. 그 밖에 정보통신망을 운영하는 자로서 대통령령으로 정하는 자 > * 한국인터넷진흥원은 제2항에 따른 정보를 분석하여 과학기술정보통신부장관에게 보고하여야 한다. \[개정 2009. 4. 22., 2013. 3. 23., 2017. 7. 26.] > * 과학기술정보통신부장관은 제2항에 따라 정보를 제공하여야 하는 사업자가 정당한 사유 없이 정보의 제공을 거부하거나 거짓 정보를 제공하면 상당한 기간을 정하여 그 사업자에게 시정을 명할 수 있다. \[개정 2013. 3. 23., 2017. 7. 26.] > * 과학기술정보통신부장관이나 한국인터넷진흥원은 제2항에 따라 제공받은 정보를 침해사고의 대응을 위하여 필요한 범위에서만 정당하게 사용하여야 한다. \[개정 2009. 4. 22., 2013. 3. 23., 2017. 7. 26.] > * 과학기술정보통신부장관이나 한국인터넷진흥원은 침해사고의 대응을 위하여 필요하면 제2항 각 호의 어느 하나에 해당하는 자에게 인력지원을 요청할 수 있다. \[개정 2009. 4. 22., 2013. 3. 23., 2017. 7. 26.] > * **제76조(과태료)** > * 다음 각 호의 어느 하나에 해당하는 자와 제7호부터 제11호까지의 경우에 해당하는 행위를 하도록 한 자에게는 3천만원 이하의 과태료를 부과한다. \[개정 2011. 3. 29., 2012. 2. 17., 2013. 3. 23., 2014. 5. 28., 2015. 6. 22., 2015. 12. 1., 2016. 3. 22., 2017. 7. 26., 2018. 9. 18., 2020. 2. 4., 2021. 6. 8.] > > \[...생략...] > * 다음 각 호의 어느 하나에 해당하는 자에게는 1천만원 이하의 과태료를 부과한다. \[개정 2009. 4. 22., 2011. 4. 5., 2012. 2. 17., 2014. 5. 28., 2015. 6. 22., 2015. 12. 1., 2016. 3. 22., 2017. 7. 26., 2018. 6. 12., 2020. 2. 4., 2020. 6. 9.] > > 1\. 삭제 \[2015. 6. 22.] > > 2\. 삭제 \[2015. 6. 22.] > > 2의2. 제23조의3제1항을 위반하여 본인확인기관의 지정을 받지 아니하고 본인확인업무를 한 자 > > 2의3. 제23조의3제2항에 따른 본인확인업무의 휴지 또는 같은 조 제3항에 따른 본인확인업무의 폐지 사실을 이용자에게 통보하지 아니하거나 방송통신위원회에 신고하지 아니한 자 > > 2의4. 제23조의4제1항에 따른 본인확인업무의 정지 및 지정취소 처분에도 불구하고 본인확인업무를 계속한 자 > > 2의5. 삭제 \[2020. 2. 4.] > > 3\. 제42조의3제1항을 위반하여 청소년 보호 책임자를 지정하지 아니한 자 > > 4\. 제43조를 위반하여 정보를 보관하지 아니한 자 > > 5\. 삭제 \[2018. 6. 12.] > > 6\. 삭제 \[2015. 12. 1.] > > 7\. 제47조제9항을 위반하여 인증받은 내용을 거짓으로 홍보한 자 > > 8\. 삭제 \[2012. 2. 17.] > > 9\. 삭제 \[2012. 2. 17.] > > 10\. 제47조의4제4항을 위반하여 소프트웨어 사용자에게 알리지 아니한 자 > > 11\. 제48조의2제4항에 따른 시정명령을 이행하지 아니한 자 > > 11의2. 제48조의3제1항을 위반하여 침해사고의 신고를 하지 아니한 자 > > 12\. 제48조의4제4항에 따른 사업장 출입 및 조사를 방해하거나 거부 또는 기피한 자 > > \[...생략...] > > **정보통신망 이용촉진 및 정보보호 등에 관한 법률 시행령** > > * **제56조(침해사고 대응조치)** > * 법 제48조의2제1항제4호에서 “그 밖에 대통령령으로 정한 침해사고 대응조치”란 다음 각 호의 조치를 말한다. \[개정 2009. 1. 28., 2020. 12. 8.] > > 1\. 주요정보통신서비스 제공자 및 법 제46조제1항에 따른 타인의 정보통신서비스 제공을 위하여 집적된 정보통신시설을 운영ㆍ관리하는 사업자에 대한 접속경로(침해사고 확산에 이용되고 있거나 이용될 가능성이 있는 접속경로만 해당한다)의 차단 요청 > > 2\. 「소프트웨어 진흥법」 제2조제4호에 따른 소프트웨어사업자 중 침해사고와 관련이 있는 소프트웨어를 제작 또는 배포한 자에 대한 해당 소프트웨어의 보안상 취약점을 수정ㆍ보완한 프로그램(이하 “보안취약점보완프로그램”이라 한다)의 제작ㆍ배포 요청 및 정보통신서비스 제공자에 대한 보안취약점보완프로그램의 정보통신망 게재 요청 > > 3\. 언론기관 및 정보통신서비스 제공자에 대한 법 제48조의2제1항제2호에 따른 침해사고 예보ㆍ경보의 전파 > > 4\. 국가 정보통신망 안전에 필요한 경우 관계 기관의 장에 대한 침해사고 관련정보의 제공 > > 또한, 아래와 같은 법령을 근거로 하여 보안 취약점 신고포상제를 운영하고 있습니다. #### **보안 취약점 신고포상제 운영** > **정보통신망 이용촉진 및 정보보호 등에 관한 법률** > > * **제47조의6(정보보호 취약점 신고자에 대한 포상)** > * ① 정부는 침해사고의 예방 및 피해 확산 방지를 위하여 정보통신서비스, 정보통신망연결기기등 또는 소프트웨어의 보안에 관한 취약점(이하 "정보보호 취약점"이라 한다)을 신고한 자에게 예산의 범위에서 포상금을 지급할 수 있다. > > ② 제1항에 따른 포상금의 지급 대상·기준 및 절차 등은 대통령령으로 정한다. > > ③ 정부는 제1항에 따른 포상금 지급에 관한 업무를 한국인터넷진흥원에 위탁할 수 있다. > > \[본조신설 2022. 6. 10.] > > **정보통신망 이용촉진 및 정보보호 등에 관한 법률 시행령** > > * **제55조의6(정보보호 취약점 신고자에 대한 포상)** > * ① 법 제47조의6제1항에 따른 포상금의 지급 대상ㆍ기준 및 절차는 [별표 4의2](https://law.go.kr/%EB%B2%95%EB%A0%B9%EB%B3%84%ED%91%9C%EC%84%9C%EC%8B%9D/\(%EC%A0%95%EB%B3%B4%ED%86%B5%EC%8B%A0%EB%A7%9D%20%EC%9D%B4%EC%9A%A9%EC%B4%89%EC%A7%84%20%EB%B0%8F%20%EC%A0%95%EB%B3%B4%EB%B3%B4%ED%98%B8%20%EB%93%B1%EC%97%90%20%EA%B4%80%ED%95%9C%20%EB%B2%95%EB%A5%A0%20%EC%8B%9C%ED%96%89%EB%A0%B9,20221211,%EB%B3%84%ED%91%9C4%EC%9D%982\))와 같다. > > ② 과학기술정보통신부장관은 법 제47조의6제3항에 따라 포상금 지급에 관한 업무를 인터넷진흥원에 위탁하는 경우에는 위탁업무의 내용을 고시해야 한다. > > \[본조신설 2022. 12. 9.] ## 신고 포상제 ### 보안 취약점 신고포상제 > #### 보안 취약점 신고포상제란? > > * 소프트웨어 신규 취약점을 발굴하여 신고한 사람에게 포상금을 지급하는 제도 > * 보안 취약점을 악용한 침해사고를 사전에 예방하고, 전문가들의 신규 취약점 발굴을 장려하기 위하여 2012년 10월부터 보안 취약점 신고포상제를 운영하고 있습니다. > * 포상금 지급을 위한 평가는 분기별로 실시하며, 분기별 우수 취약점을 선정하여 평가 결과에 따라 최고 1,000만원의 포상금이 지급됩니다. 신고포상을 원하는 경우 \[취약점 신고자/조회]-취약점 신고에서 관련 항목을 작성해주시기 바랍니다. > * 참가대상 : 국내·외 거주하는 한국인 > * 신고대상 취약점 : '소프트웨어'에 대한 보안 취약점으로 최신버전의 소프트웨어 영향을 줄 수 있는 보안 취약점(제로데이 취약점) \ > ※ 기업에서 자체적으로 취약점 접수를 받고 있는 경우 취약점을 이관합니다. \ > ※ 기타 자세한 사항은 \[알림마당] – 자주 묻는 질문, FAQ 참조 > * 평가 및 포상 일정 : 분기별 평가를 실시하여 포상금을 지급(3, 6, 9, 12월에 평가 및 포상 실시) > * 주의사항 : 실제 서비스 중인 웹사이트나 시스템(서버, 네트워크, 보안장비 등)에 정보통신서비스 제공자의 동의를 받지 않고 정당한 접근권한 없이 또는 허용된 접근 권한을 넘어 취약점을 발굴하는 행위는 정보통신망 침입행위로 간주될 수 있으므로 평가 및 포상대상에서 제외됨은 물론, 법에 의해 처벌받을 수 있습니다. \ > (「정보통신망 이용촉진 및 정보보호 등에 관한 법률」 제48조제1항, 제71조제1항제9호및제2항 참고) \ > ※ 서비스 취약점 발굴을 허용하는 공동운영사의 경우 위 내용이 해당되지 않습니다. \ > 다만, 허용된 범위 외의 시스템을 대상으로 한 공격 및 침투와 취약점 발굴을 위한 과도한 스캐닝 및 서비스 거부 공격은 정보통신망 침입 행위로 간주될 수 있습니다. \ > (「정보통신망 이용촉진 및 정보보호등에 관한 법률」 제48조, 제49조, 제71조 참고) ### 보안 취약점 신고포상제 이점 > * 버그바운티는 정형화된 모의해킹과 달리 수백명의 화이트 해커를 지속적으로 활용하여 다양한 시각의 보안취약점을 발굴함으로써 제품/웹사이트를 개선 할 수 있습니다. ### 취약점 포상 제외 사항(’22.07.07 개정) > 취약점 신고 당시 보안 업데이트가 나오지 않은 소프트웨어 중 실제 공격에 악용될 수 있는 취약점에 대해 포상금이 지급됩니다. > > 아래의 경우에는 포상 및 평가 대상에서 제외하며, 일반 신고로 접수되거나 별도의 안내 없이 내부 종결될 수 있습니다. > > * 실제 서비스 중인 웹 사이트나 시스템(서버, 네트워크, 보안 장비 등)에 정보통신서비스 제공자의 동의를 받지 않고 정당한 접근권한 없이 또는 허용된 접근 권한을 넘어 취약점을 발굴하는 행위는 정보통신망 침입행위로 간주될 수 있으므로 평가 및 포상대상에서 제외됨은 물론, 법에 의해 처벌받을 수 있습니다. \ > (「정보통신망 이용촉진 및 정보보호 등에 관한 법률」 제48조제1항, 제71조제1항제9호및제2항 참고) \ > ※ 서비스 취약점 발굴을 허용하는 공동운영사의 경우 제외 > * ActiveX 취약점 (Internet Explorer 지원 종료에 따라 포상 대상에서 제외(2022.9.1\~)) > * 타인이 발견한 취약점, 이미 공개된 취약점, 제조사 폐업, 단종 제품 등 보안 업데이트 개발이 불가능한 제품인 경우 > * 제조사에 먼저 신고한 취약점, 타 대회 및 버그바운티에 신고, 포상된 취약점일 경우 > * 아래와 같은 취약점을 신고한 경우 > * > > ``` >

> ``` > > * 해당 소프트웨어가 동작함에 있는 필수 요소(OS, 프레임워크 등)의 보안 업데이트를 수행할 때 취약점이 발현되지 않거나 이를 변경 등을 해야만 발생하는 취약점 > > * 사용자의 극단적인 개입이 있어야 악용될 수 있는 취약점(레지스트리 수정 등) > > * 신고 접수된 정보가 허위 또는 과장되거나 불분명하여 취약점을 파악할 수 없는 경우, 가능성만 제시된 완벽하지 않은 취약점의 경우 > > * 취약점으로 인해 발생할 수 있는 피해가 매우 미미하거나, 공격자 측면에서 신고된 취약점을 굳이 악용에 사용할 필요가 없을 정도로 파급도가 매우 낮은 취약점의 경우 > > * 개념증명코드(Proof Of Concept Code) 제공이 없는 신고 > > * 신고서의 동의 관련 내용을 임의로 변조하여 신고한 경우 > > * 신고 취약점 정보에 대한 신고자 저작권 행사 등을 명시한 경우 > > * 정부 지원 사업\*을 통해 발굴된 취약점의 경우 (단, 명예의 전당에 게시)\ > ※ 정부 예산이 투입된 연구과제 또는 프로젝트 > > * 모바일 딥링크(Deeplink) 취약점 > > * 정상적인 차량 진단 메시지 관련 기능인 경우 > > * ECU와 CAN-BIS에 Flooding을 통한 DoS 취약점 > > * 유료 소프트웨어를 크랙 등을 통해 불법으로 우회하여 취약점을 찾아 신고한 경우 > > 신고서에 작성한 내용이 사실과 다르게 작성되거나, KISA를 제외한 제3자에게 취약점을 공개한 경우, 비밀유지 의무 등을 위반한 사실이 밝혀진 경우 다음과 같은 불이익을 당할 수 있습니다. > > * 밝혀진 날로부터 1년 동안 평가 및 포상 대상에서 제외 > * 해당 취약점으로 이미 포상 받은 경우 포상 취소 및 지급 포상금 전액 환수 > > 이용자는 동의를 거부할 수 있습니다. 다만, 이 경우 S/W 신규 취약점 신고 서비스의 이용이 불가능 합니다. #### 취약점 정보 활용 및 비밀유지 > 신고된 취약점은 포상 관련 평가, 취약점을 보완한 제품 개발(보안 업데이트 개발)을 위해 활용됩니다. 포상은 비공개된 취약점을 대상으로 하며(공개된 취약점은 포상 대상에서 제외), 신고 후에도 아래와 같이 그 어떠한 목적으로도 KISA를 제외한 제3자(제조사 포함)에게 공개할 수 없습니다. > > * KISA 포상 취약점: 제조사가 보안패치 한 날로부터 120일(4개월) 이전에 외부 공개 불가 > * 공동운영사 포상 취약점: 영구 공개 불가 \ > 신고서에 작성한 내용이 사실과 다르게 작성되거나, KISA를 제외한 제3자에게 취약점을 공개한 경우, 비밀유지 의무 등을 위반한 사실이 밝혀진 경우 다음과 같은 불이익을 당할 수 있습니다. > * 사실 확인일로부터 1년동안 평가 및 포상 대상에서 제외 > * 해당 취약점으로 이미 포상 받은 경우 포상 취소 및 지급 포상금 전액 환수 및 법적대응 > > 이용자는 동의를 거부할 수 있습니다. 다만, 이 경우 S/W 신규 취약점 신고 서비스의 이용이 불가능 합니다. ### 공동 운영 제도 > **- 민간 기업에서 버그바운티를 도입하려 하나 기반 마련이 어려울 때, KISA가 수년간 버그바운티를 운영한 경험을 바탕으로 기업이 자체적으로 버그 바운티를 운영할 수 있도록 단계적으로 지원하는 제도**\ > \&#xNAN;**- 공동운영사로 참여하는 업체는 취약점 평가회의에 참석하여 적성성을 논의하고 결정된 포상금을 지급**

#### 공동 운영 이점 > * 기업 버그바운티 운영을 위한 단계적 지원 활용(평가체계 등)\ > ※ KISA에서 취약점 접수, 분석, 검증, 평가를 지원하며 추후 자체적으로 운영할 수 있도록 단계별로 독립 > * 국제표준식별체계 CVE 발급이 필요한 경우, MITRE 연계 서비스 제공 > * 공동운영사로 참여하는 업체는 KISA 취약점 포탈 홈페이지에 정보보호 활동 강화 기업 홍보 > * 클라우드 기반 보안 취약점 분석 플랫폼 서비스 제공 #### 공동 운영을 위한 협약 절차

#### 공동 운영 절차

### 공동 운영사 소개 #### 참여 기업 리스트 > '보안 취약점 신고포상제'의 공동 운영사로 참여 중인 기업들입니다. 아래 기업들은 정보보호 활동을 장려하고 정보보호 확산 등 정보보호 분야 발전을 위해 노력하는 기업입니다.

#### 주의사항 > 공동운영사별 신고 범위내에서 발생하는 취약점을 대상으로 합니다.\ > 공동운영사에서 허용한 범위 외에 취약점 발굴 행위는 지양하여 주시기 바라며,\ > 발견된 취약점 및 내부 정보는 판매 및 발표 등 외부 공개가 금지됩니다. 전자우편, 문서 등을 통하여 접수 하는 것을 원칙으로 합니다 > > 서비스 취약점 발굴을 위해 과도한 스캐닝 및 서비스 거부 공격을 통해 정상적인 서비스를 방해하는 행위는\ > 정보통신망법 제48조제3항 및 제71조에 의거하여 정보통신망 침입 행위로 간주되어 처벌받을 수 있으며,\ > 공동운영사를 제외한 제조사에서 자체적으로 취약점 접수 채널을 마련하여 취약점 신고를 받고 있는 경우 KISA로 신고된 취약점은 당사로 이관되며 신고포상제 평가 및 포상대상에서는 제외됩니다. ### 공동 운영사 신고 범위 #### 공동 운영사 신고 범위는 어떻게 되나요? > 공동운영사별 신고 범위는 하단에서 발생하는 취약점을 대상으로 합니다. > > 아래 공동운영사에서 허용한 범위 외에 취약점 발굴 행위는 지양하여 주시기 바라며, 발견된 취약점 및 내부 정보는 판매 및 발표 등 외부 공개가 금지됩니다. > > 서비스 취약점 발굴을 위해 과도한 스캐닝 및 서비스 거부 공격을 통해 정상적인 서비스를 방해하는 행위는 정보통신망법 제48조제3항 및 제71조에 의거하여 정보통신망 침입 행위로 간주되어 처벌받을 수 있으며, > > 공동운영사를 제외한 제조사에서 자체적으로 취약점 접수 채널을 마련하여 취약점 신고를 받고 있는 경우 KISA로 신고된 취약점은 당사로 이관되며 신고포상제 평가 및 포상대상에서는 제외됩니다.

번호	업체명	허용범위
1	한글과컴퓨터	`- 한컴오피스(한글, 한워드, 한셀, 한쇼) 제품 및 파생 제품(체험판, 뷰어)`
2	네오위즈게임즈	`- 네오위즈게임즈에서 개발한 모든 소프트웨어`
3	이스트시큐리티	`- 이스트시큐리티에서 개발한 모든 소프트웨어`
4	이니텍	`- INISAFE CrossWeb EX V3 - INISAFEMobilian - INIPASSVI(Android, iOS)`
5	잉카인터넷	`- 잉카인터넷에서 개발한 모든 소프트웨어`
6	LG전자	`- 제품 보증 기간이 만료되지 않은 IoT 제품 및 연관 소프트웨어`
7	지니언스	`- Genian NAC 4.x - Genian NAC 5.x`
8	카카오뱅크	`- 카카오뱅크에서 개발한 서비스 (모바일앱, 홈페이지)`
9	안랩	`- 안랩에서 개발한 모든 소프트웨어`
10	하우리	`- 하우리에서 개발한 모든 소프트웨어`
11	엑스블록시스템즈	`- 개발 소스코드`
12	블록체인오에스	`- 개발 소스코드`
13	글로스퍼	`- 개발 소스코드`
14	에스지에이솔루션즈	`- VirusChaser 9.0`
15	휴네시온	`- 망연계솔루션`
16	KVISION	`- KVISION에서 개발한 전제품`
17	크로키닷컴	`- 지그재그 앱 ※ 앱 내 타쇼핑몰 사이트 제외 - 지그재그 파트너센터 ※ https://shop.zigzag.kr`
18	지란지교시큐리티	`- SpamSniper - DocuONE - OfficeHard VEX - 메일 세이퍼`
19 20	현대자동차 기아	`자동차와 차량 연동 모바일 앱 - 현대자동차, 제네시스, 기아 홈페이지 기준 판매 중인 차종 - 모바일 앱(현대차 기준) : 블루링크, 현대 디지털 키, 빌트인 캠, 현대 카페이`
21	SR	`- 기업 소개 홈페이지`
22	카카오페이	`- 카카오페이 앱 ※ 자산, 송금, 결제 메뉴 대상(지정 대상외 메뉴 제외) ※ "페이홈>전체" 메뉴 목록 참고`

### 명예의 전당 #### 명예의 전당 리스트 > 화이트해커의 취약점 신고 활성화를 위해, 우수 신고자를 공개하는 「명예의 전당」 운영 > > * S/W 신규 취약점 신고포상제 참여한 신고자 중, 포상금과 포상 건수를 바탕으로 상위 10명 선정 \ > ※ 상위 10명 선정 기준: 포상금(80%)+포상 건수(20%) \ > ※ 뱃지는 2021년도 상위 3명에게 부여됩니다. ## 취약점 정보 공유 ### 통합검색(CVE 등)

### 보안공지

### 국내 취약점 정보

## 참고 사항 ### 홈페이지 바로가기 : [사이버 보안 취약점 정보 포털](https://knvd.krcert.or.kr/) {% embed url="" %} NHN Cloud 정보 사이트 {% endembed %} {% embed url="" %} 보안 업데이트 정보 사이트 {% endembed %}