[KISA] 사이버 보안 취약점 정보 포털(Security BugBounty)
[KISA] 보안 취약점 신고포상제 (Security BugBounty)
사이버 보안 취약점 정보 포털이란?
한국인터넷진흥원에서는 보안 취약점 사전 발굴 및 조치를 위해 보안 취약점 신고 포상제를 운형하고, 핵더챌린지 플랫폼을 통해 보안 취약점 전문가가 신속하게 취약점을 발굴할 수 있는 환경을 제공합니다.
또한 취약점 사고 재발 방지를 위해 보안 취약점 정보 관리 체계를 구축하여 국/내외 취약점 정보를 제공합니다.
취약점 소개
KISA 취약점 처리 절차
입수 단계
내부 입수, 신고포상제(KrCERT), 외부신고(118), 유관기관 공유 등을 통해 취약점 접수
분석 단계
신고자의 신고 내용(보고서, 이메일 등)을 바탕으로 취약점 분석(신규취약점 여부, 취약점 파급도 등)
대응 단계
제조사에 취약점 조치를 요청하고, 보안 패치 개발 및 검증
해외 제품의 취약점인 경우 해외CERT 또는 해당 제조사에 취약점 관련 정보 전달
공유 단계
국내 파급력이 높다고 판단되는 취약점의 경우 유관기관 정보공유 및 대국민 보안공지
(정보공유) 취약한 제품 사용하는 기관 중 금융, 공공, 교육기관이 존재하는 경우, 취약점 관련 정보를 전달
(보안공지) 피해 규모 및 위험도를 고려하여 일반 사용자가 다수 포함되어 있는 경우 대국민 긴급 보안공지
※ 언론보도, 취약점 포털 및 보호나라 홈페이지 보안공지 게시 등 대국민 안내.
핵더챌린지 분석 플랫폼
개요
신규 보안취약점 신속 발굴 및 조치를 위해 보안전문가들의 집단지성을 활용한 클라우드 기반의 핵더챌린지 분석 플랫폼 구축
중앙관리SW, 출시 전 제품, 홈페이지 등 취약점발굴이 어려운 SW를 클라우드 서버에 설치 후 보안전문가에게 제공하여 신규 취약점 발굴
주요 내용
분석대상 SW 개방
클라우드 기반의 서버제공으로 분석대상 SW를 사전 설치 후 민간 보안전문가에게 개방
※ 분석대상 SW 설치 시 기업의 취약점 분석 동의 후 민간 보안전문가에게 개방
취약점 발굴
민간보안전문가에게 취약점 분석환경이 구성된 가상데스크톱을 제공하여 분석대상 SW의 신규 취약점 발굴 진행
※ 취약점 분석 환경에 대한 로그 관리, 정보 유출 방지 등 강화된 보안 관리 기능
취약점 관련 법률
한국인터넷진흥원은 아래와 같은 법령을 근거로 하여 보안 취약점 개선 및 대응을 위한 업무를 수행하고 있습니다.
보안 취약점 개선 및 대응 관련
정보통신망 이용촉진 및 정보보호 등에 관한 법률
제47조의4(이용자의 정보보호)
정부는 이용자의 정보보호에 필요한 기준을 정하여 이용자에게 권고하고, 침해사고의 예방 및 확산 방지를 위하여 취약점 점검, 기술 지원 등 필요한 조치를 할 수 있다.
정부는 제1항에 따른 조치에 관한 업무를 한국인터넷진흥원 또는 대통령령으로 정하는 전문기관에 위탁할 수 있다. [신설 2020. 6. 9.]
주요정보통신서비스 제공자는 정보통신망에 중대한 침해사고가 발생하여 자신의 서비스를 이용하는 이용자의 정보시스템 또는 정보통신망 등에 심각한 장애가 발생할 가능성이 있으면 이용약관으로 정하는 바에 따라 그 이용자에게 보호조치를 취하도록 요청하고, 이를 이행하지 아니하는 경우에는 해당 정보통신망으로의 접속을 일시적으로 제한할 수 있다. [개정 2020. 6. 9.]
「소프트웨어 진흥법」 제2조에 따른 소프트웨어사업자는 보안에 관한 취약점을 보완하는 프로그램을 제작하였을 때에는 한국인터넷진흥원에 알려야 하고, 그 소프트웨어 사용자에게는 제작한 날부터 1개월 이내에 2회 이상 알려야 한다. [개정 2009. 4. 22., 2020. 6. 9.]
「제3항에 따른 보호조치의 요청 등에 관하여 이용약관으로 정하여야 하는 구체적인 사항은 대통령령으로 정한다. [개정 2020. 6. 9.]
제48조의2(침해사고의 대응 등)
과학기술정보통신부장관은 침해사고에 적절히 대응하기 위하여 다음 각 호의 업무를 수행하고, 필요하면 업무의 전부 또는 일부를 한국인터넷진흥원이 수행하도록 할 수 있다. [개정 2009. 4. 22., 2013. 3. 23., 2017. 7. 26.]
1. 침해사고에 관한 정보의 수집ㆍ전파
2. 침해사고의 예보ㆍ경보
3. 침해사고에 대한 긴급조치
4. 그 밖에 대통령령으로 정하는 침해사고 대응조치
다음 각 호의 어느 하나에 해당하는 자는 대통령령으로 정하는 바에 따라 침해사고의 유형별 통계, 해당 정보통신망의 소통량 통계 및 접속경로별 이용 통계 등 침해사고 관련 정보를 과학기술정보통신부장관이나 한국인터넷진흥원에 제공하여야 한다. [개정 2009. 4. 22., 2013. 3. 23., 2017. 7. 26.]
1. 주요정보통신서비스 제공자
2. 집적정보통신시설 사업자
3. 그 밖에 정보통신망을 운영하는 자로서 대통령령으로 정하는 자
한국인터넷진흥원은 제2항에 따른 정보를 분석하여 과학기술정보통신부장관에게 보고하여야 한다. [개정 2009. 4. 22., 2013. 3. 23., 2017. 7. 26.]
과학기술정보통신부장관은 제2항에 따라 정보를 제공하여야 하는 사업자가 정당한 사유 없이 정보의 제공을 거부하거나 거짓 정보를 제공하면 상당한 기간을 정하여 그 사업자에게 시정을 명할 수 있다. [개정 2013. 3. 23., 2017. 7. 26.]
과학기술정보통신부장관이나 한국인터넷진흥원은 제2항에 따라 제공받은 정보를 침해사고의 대응을 위하여 필요한 범위에서만 정당하게 사용하여야 한다. [개정 2009. 4. 22., 2013. 3. 23., 2017. 7. 26.]
과학기술정보통신부장관이나 한국인터넷진흥원은 침해사고의 대응을 위하여 필요하면 제2항 각 호의 어느 하나에 해당하는 자에게 인력지원을 요청할 수 있다. [개정 2009. 4. 22., 2013. 3. 23., 2017. 7. 26.]
제76조(과태료)
다음 각 호의 어느 하나에 해당하는 자와 제7호부터 제11호까지의 경우에 해당하는 행위를 하도록 한 자에게는 3천만원 이하의 과태료를 부과한다. [개정 2011. 3. 29., 2012. 2. 17., 2013. 3. 23., 2014. 5. 28., 2015. 6. 22., 2015. 12. 1., 2016. 3. 22., 2017. 7. 26., 2018. 9. 18., 2020. 2. 4., 2021. 6. 8.]
[...생략...]
다음 각 호의 어느 하나에 해당하는 자에게는 1천만원 이하의 과태료를 부과한다. [개정 2009. 4. 22., 2011. 4. 5., 2012. 2. 17., 2014. 5. 28., 2015. 6. 22., 2015. 12. 1., 2016. 3. 22., 2017. 7. 26., 2018. 6. 12., 2020. 2. 4., 2020. 6. 9.]
1. 삭제 [2015. 6. 22.]
2. 삭제 [2015. 6. 22.]
2의2. 제23조의3제1항을 위반하여 본인확인기관의 지정을 받지 아니하고 본인확인업무를 한 자
2의3. 제23조의3제2항에 따른 본인확인업무의 휴지 또는 같은 조 제3항에 따른 본인확인업무의 폐지 사실을 이용자에게 통보하지 아니하거나 방송통신위원회에 신고하지 아니한 자
2의4. 제23조의4제1항에 따른 본인확인업무의 정지 및 지정취소 처분에도 불구하고 본인확인업무를 계속한 자
2의5. 삭제 [2020. 2. 4.]
3. 제42조의3제1항을 위반하여 청소년 보호 책임자를 지정하지 아니한 자
4. 제43조를 위반하여 정보를 보관하지 아니한 자
5. 삭제 [2018. 6. 12.]
6. 삭제 [2015. 12. 1.]
7. 제47조제9항을 위반하여 인증받은 내용을 거짓으로 홍보한 자
8. 삭제 [2012. 2. 17.]
9. 삭제 [2012. 2. 17.]
10. 제47조의4제4항을 위반하여 소프트웨어 사용자에게 알리지 아니한 자
11. 제48조의2제4항에 따른 시정명령을 이행하지 아니한 자
11의2. 제48조의3제1항을 위반하여 침해사고의 신고를 하지 아니한 자
12. 제48조의4제4항에 따른 사업장 출입 및 조사를 방해하거나 거부 또는 기피한 자
[...생략...]
정보통신망 이용촉진 및 정보보호 등에 관한 법률 시행령
제56조(침해사고 대응조치)
법 제48조의2제1항제4호에서 “그 밖에 대통령령으로 정한 침해사고 대응조치”란 다음 각 호의 조치를 말한다. [개정 2009. 1. 28., 2020. 12. 8.]
1. 주요정보통신서비스 제공자 및 법 제46조제1항에 따른 타인의 정보통신서비스 제공을 위하여 집적된 정보통신시설을 운영ㆍ관리하는 사업자에 대한 접속경로(침해사고 확산에 이용되고 있거나 이용될 가능성이 있는 접속경로만 해당한다)의 차단 요청
2. 「소프트웨어 진흥법」 제2조제4호에 따른 소프트웨어사업자 중 침해사고와 관련이 있는 소프트웨어를 제작 또는 배포한 자에 대한 해당 소프트웨어의 보안상 취약점을 수정ㆍ보완한 프로그램(이하 “보안취약점보완프로그램”이라 한다)의 제작ㆍ배포 요청 및 정보통신서비스 제공자에 대한 보안취약점보완프로그램의 정보통신망 게재 요청
3. 언론기관 및 정보통신서비스 제공자에 대한 법 제48조의2제1항제2호에 따른 침해사고 예보ㆍ경보의 전파
4. 국가 정보통신망 안전에 필요한 경우 관계 기관의 장에 대한 침해사고 관련정보의 제공
또한, 아래와 같은 법령을 근거로 하여 보안 취약점 신고포상제를 운영하고 있습니다.
보안 취약점 신고포상제 운영
정보통신망 이용촉진 및 정보보호 등에 관한 법률
제47조의6(정보보호 취약점 신고자에 대한 포상)
① 정부는 침해사고의 예방 및 피해 확산 방지를 위하여 정보통신서비스, 정보통신망연결기기등 또는 소프트웨어의 보안에 관한 취약점(이하 "정보보호 취약점"이라 한다)을 신고한 자에게 예산의 범위에서 포상금을 지급할 수 있다.
② 제1항에 따른 포상금의 지급 대상·기준 및 절차 등은 대통령령으로 정한다.
③ 정부는 제1항에 따른 포상금 지급에 관한 업무를 한국인터넷진흥원에 위탁할 수 있다.
[본조신설 2022. 6. 10.]
정보통신망 이용촉진 및 정보보호 등에 관한 법률 시행령
제55조의6(정보보호 취약점 신고자에 대한 포상)
① 법 제47조의6제1항에 따른 포상금의 지급 대상ㆍ기준 및 절차는 별표 4의2와 같다.
② 과학기술정보통신부장관은 법 제47조의6제3항에 따라 포상금 지급에 관한 업무를 인터넷진흥원에 위탁하는 경우에는 위탁업무의 내용을 고시해야 한다.
[본조신설 2022. 12. 9.]
신고 포상제
보안 취약점 신고포상제
보안 취약점 신고포상제란?
소프트웨어 신규 취약점을 발굴하여 신고한 사람에게 포상금을 지급하는 제도
보안 취약점을 악용한 침해사고를 사전에 예방하고, 전문가들의 신규 취약점 발굴을 장려하기 위하여 2012년 10월부터 보안 취약점 신고포상제를 운영하고 있습니다.
포상금 지급을 위한 평가는 분기별로 실시하며, 분기별 우수 취약점을 선정하여 평가 결과에 따라 최고 1,000만원의 포상금이 지급됩니다. 신고포상을 원하는 경우 [취약점 신고자/조회]-취약점 신고에서 관련 항목을 작성해주시기 바랍니다.
참가대상 : 국내·외 거주하는 한국인
신고대상 취약점 : '소프트웨어'에 대한 보안 취약점으로 최신버전의 소프트웨어 영향을 줄 수 있는 보안 취약점(제로데이 취약점) ※ 기업에서 자체적으로 취약점 접수를 받고 있는 경우 취약점을 이관합니다. ※ 기타 자세한 사항은 [알림마당] – 자주 묻는 질문, FAQ 참조
평가 및 포상 일정 : 분기별 평가를 실시하여 포상금을 지급(3, 6, 9, 12월에 평가 및 포상 실시)
주의사항 : 실제 서비스 중인 웹사이트나 시스템(서버, 네트워크, 보안장비 등)에 정보통신서비스 제공자의 동의를 받지 않고 정당한 접근권한 없이 또는 허용된 접근 권한을 넘어 취약점을 발굴하는 행위는 정보통신망 침입행위로 간주될 수 있으므로 평가 및 포상대상에서 제외됨은 물론, 법에 의해 처벌받을 수 있습니다. (「정보통신망 이용촉진 및 정보보호 등에 관한 법률」 제48조제1항, 제71조제1항제9호및제2항 참고) ※ 서비스 취약점 발굴을 허용하는 공동운영사의 경우 위 내용이 해당되지 않습니다. 다만, 허용된 범위 외의 시스템을 대상으로 한 공격 및 침투와 취약점 발굴을 위한 과도한 스캐닝 및 서비스 거부 공격은 정보통신망 침입 행위로 간주될 수 있습니다. (「정보통신망 이용촉진 및 정보보호등에 관한 법률」 제48조, 제49조, 제71조 참고)
보안 취약점 신고포상제 이점
버그바운티는 정형화된 모의해킹과 달리 수백명의 화이트 해커를 지속적으로 활용하여 다양한 시각의 보안취약점을 발굴함으로써 제품/웹사이트를 개선 할 수 있습니다.
취약점 포상 제외 사항(’22.07.07 개정)
취약점 신고 당시 보안 업데이트가 나오지 않은 소프트웨어 중 실제 공격에 악용될 수 있는 취약점에 대해 포상금이 지급됩니다.
아래의 경우에는 포상 및 평가 대상에서 제외하며, 일반 신고로 접수되거나 별도의 안내 없이 내부 종결될 수 있습니다.
실제 서비스 중인 웹 사이트나 시스템(서버, 네트워크, 보안 장비 등)에 정보통신서비스 제공자의 동의를 받지 않고 정당한 접근권한 없이 또는 허용된 접근 권한을 넘어 취약점을 발굴하는 행위는 정보통신망 침입행위로 간주될 수 있으므로 평가 및 포상대상에서 제외됨은 물론, 법에 의해 처벌받을 수 있습니다. (「정보통신망 이용촉진 및 정보보호 등에 관한 법률」 제48조제1항, 제71조제1항제9호및제2항 참고) ※ 서비스 취약점 발굴을 허용하는 공동운영사의 경우 제외
ActiveX 취약점 (Internet Explorer 지원 종료에 따라 포상 대상에서 제외(2022.9.1~))
타인이 발견한 취약점, 이미 공개된 취약점, 제조사 폐업, 단종 제품 등 보안 업데이트 개발이 불가능한 제품인 경우
제조사에 먼저 신고한 취약점, 타 대회 및 버그바운티에 신고, 포상된 취약점일 경우
아래와 같은 취약점을 신고한 경우
해당 소프트웨어가 동작함에 있는 필수 요소(OS, 프레임워크 등)의 보안 업데이트를 수행할 때 취약점이 발현되지 않거나 이를 변경 등을 해야만 발생하는 취약점
사용자의 극단적인 개입이 있어야 악용될 수 있는 취약점(레지스트리 수정 등)
신고 접수된 정보가 허위 또는 과장되거나 불분명하여 취약점을 파악할 수 없는 경우, 가능성만 제시된 완벽하지 않은 취약점의 경우
취약점으로 인해 발생할 수 있는 피해가 매우 미미하거나, 공격자 측면에서 신고된 취약점을 굳이 악용에 사용할 필요가 없을 정도로 파급도가 매우 낮은 취약점의 경우
개념증명코드(Proof Of Concept Code) 제공이 없는 신고
신고서의 동의 관련 내용을 임의로 변조하여 신고한 경우
신고 취약점 정보에 대한 신고자 저작권 행사 등을 명시한 경우
정부 지원 사업*을 통해 발굴된 취약점의 경우 (단, 명예의 전당에 게시) ※ 정부 예산이 투입된 연구과제 또는 프로젝트
모바일 딥링크(Deeplink) 취약점
정상적인 차량 진단 메시지 관련 기능인 경우
ECU와 CAN-BIS에 Flooding을 통한 DoS 취약점
유료 소프트웨어를 크랙 등을 통해 불법으로 우회하여 취약점을 찾아 신고한 경우
신고서에 작성한 내용이 사실과 다르게 작성되거나, KISA를 제외한 제3자에게 취약점을 공개한 경우, 비밀유지 의무 등을 위반한 사실이 밝혀진 경우 다음과 같은 불이익을 당할 수 있습니다.
밝혀진 날로부터 1년 동안 평가 및 포상 대상에서 제외
해당 취약점으로 이미 포상 받은 경우 포상 취소 및 지급 포상금 전액 환수
이용자는 동의를 거부할 수 있습니다. 다만, 이 경우 S/W 신규 취약점 신고 서비스의 이용이 불가능 합니다.
취약점 정보 활용 및 비밀유지
신고된 취약점은 포상 관련 평가, 취약점을 보완한 제품 개발(보안 업데이트 개발)을 위해 활용됩니다. 포상은 비공개된 취약점을 대상으로 하며(공개된 취약점은 포상 대상에서 제외), 신고 후에도 아래와 같이 그 어떠한 목적으로도 KISA를 제외한 제3자(제조사 포함)에게 공개할 수 없습니다.
KISA 포상 취약점: 제조사가 보안패치 한 날로부터 120일(4개월) 이전에 외부 공개 불가
공동운영사 포상 취약점: 영구 공개 불가 신고서에 작성한 내용이 사실과 다르게 작성되거나, KISA를 제외한 제3자에게 취약점을 공개한 경우, 비밀유지 의무 등을 위반한 사실이 밝혀진 경우 다음과 같은 불이익을 당할 수 있습니다.
사실 확인일로부터 1년동안 평가 및 포상 대상에서 제외
해당 취약점으로 이미 포상 받은 경우 포상 취소 및 지급 포상금 전액 환수 및 법적대응
이용자는 동의를 거부할 수 있습니다. 다만, 이 경우 S/W 신규 취약점 신고 서비스의 이용이 불가능 합니다.
공동 운영 제도
- 민간 기업에서 버그바운티를 도입하려 하나 기반 마련이 어려울 때, KISA가 수년간 버그바운티를 운영한 경험을 바탕으로 기업이 자체적으로 버그 바운티를 운영할 수 있도록 단계적으로 지원하는 제도 - 공동운영사로 참여하는 업체는 취약점 평가회의에 참석하여 적성성을 논의하고 결정된 포상금을 지급
공동 운영 이점
기업 버그바운티 운영을 위한 단계적 지원 활용(평가체계 등) ※ KISA에서 취약점 접수, 분석, 검증, 평가를 지원하며 추후 자체적으로 운영할 수 있도록 단계별로 독립
국제표준식별체계 CVE 발급이 필요한 경우, MITRE 연계 서비스 제공
공동운영사로 참여하는 업체는 KISA 취약점 포탈 홈페이지에 정보보호 활동 강화 기업 홍보
클라우드 기반 보안 취약점 분석 플랫폼 서비스 제공
공동 운영을 위한 협약 절차
공동 운영 절차
공동 운영사 소개
참여 기업 리스트
'보안 취약점 신고포상제'의 공동 운영사로 참여 중인 기업들입니다. 아래 기업들은 정보보호 활동을 장려하고 정보보호 확산 등 정보보호 분야 발전을 위해 노력하는 기업입니다.
주의사항
공동운영사별 신고 범위내에서 발생하는 취약점을 대상으로 합니다. 공동운영사에서 허용한 범위 외에 취약점 발굴 행위는 지양하여 주시기 바라며, 발견된 취약점 및 내부 정보는 판매 및 발표 등 외부 공개가 금지됩니다. 전자우편, 문서 등을 통하여 접수 하는 것을 원칙으로 합니다
서비스 취약점 발굴을 위해 과도한 스캐닝 및 서비스 거부 공격을 통해 정상적인 서비스를 방해하는 행위는 정보통신망법 제48조제3항 및 제71조에 의거하여 정보통신망 침입 행위로 간주되어 처벌받을 수 있으며, 공동운영사를 제외한 제조사에서 자체적으로 취약점 접수 채널을 마련하여 취약점 신고를 받고 있는 경우 KISA로 신고된 취약점은 당사로 이관되며 신고포상제 평가 및 포상대상에서는 제외됩니다.
공동 운영사 신고 범위
공동 운영사 신고 범위는 어떻게 되나요?
공동운영사별 신고 범위는 하단에서 발생하는 취약점을 대상으로 합니다.
아래 공동운영사에서 허용한 범위 외에 취약점 발굴 행위는 지양하여 주시기 바라며, 발견된 취약점 및 내부 정보는 판매 및 발표 등 외부 공개가 금지됩니다.
서비스 취약점 발굴을 위해 과도한 스캐닝 및 서비스 거부 공격을 통해 정상적인 서비스를 방해하는 행위는 정보통신망법 제48조제3항 및 제71조에 의거하여 정보통신망 침입 행위로 간주되어 처벌받을 수 있으며,
공동운영사를 제외한 제조사에서 자체적으로 취약점 접수 채널을 마련하여 취약점 신고를 받고 있는 경우 KISA로 신고된 취약점은 당사로 이관되며 신고포상제 평가 및 포상대상에서는 제외됩니다.
명예의 전당
명예의 전당 리스트
화이트해커의 취약점 신고 활성화를 위해, 우수 신고자를 공개하는 「명예의 전당」 운영
S/W 신규 취약점 신고포상제 참여한 신고자 중, 포상금과 포상 건수를 바탕으로 상위 10명 선정 ※ 상위 10명 선정 기준: 포상금(80%)+포상 건수(20%) ※ 뱃지는 2021년도 상위 3명에게 부여됩니다.
취약점 정보 공유
통합검색(CVE 등)
보안공지
국내 취약점 정보
참고 사항
홈페이지 바로가기 : 사이버 보안 취약점 정보 포털
Last updated