<img height="1" width="1" style="display:none" src="https://www.facebook.com/tr?id=939333007162424&amp;ev=PageView&amp;noscript=1">

지니언스㈜ ("회사" 또는 "지니언스")는 지니언스 제품 및 서비스의 취약점 신고에 대한 포상을 지급하는 지니언스 버그바운티 프로그램(이하 "본 프로그램")을 시행합니다. 본 버그바운티 프로그램에 참여하고 포상을 받기 원하는 참가자는 본 약관에 동의해야 하며, 취약점을 신고한 경우 본 약관에 동의한 것으로 간주됩니다.

 

제 1 조 (소개)

본 프로그램은 지니언스 제품의 취약점을 빠르게 찾아내어 고객사에 안전한 제품 및 서비스를 제공하는 것을 목적으로 하며, 신고된 취약점을 지니언스가 단독 재량으로 결정한 금액(“포상금”)으로 보상을 받을 수 있습니다. 또한 본 약관은 언제든지 변경될 수 있으며, 변경사항이 적용된 후 프로그램에 참여하면 새로운 약관에 동의하는 것입니다.

 

제 2 조 (참가 자격 및 방법)

1. 다음의 기준을 모두 충족하는 경우 본 프로그램에 참여할 수 있습니다.

  • 지니언스의 임직원이 아니어야 하며, 퇴직한 임직원은 퇴직 후 2년이 경과 되었을 시 참여할 수 있습니다. (25년 9월 22일 수정)
  • 참가자는 한국어 또는 영어로 의사소통이 가능해야 합니다.

2. 본 프로그램 참가에 필요한 제반 경비는 참가자가 부담하며, 본 프로그램 운영과 관련하여 필요한 연락은 참가자의 이메일을 통해 이루어 집니다.

3. 실제 또는 잠재적인 보안 문제를 발견하면 가능한 한 빨리 당사에 알려주시기 바랍니다. (24년 10월 4일 추가)

4. 취약점이 존재하거나 민감한 데이터(개인 식별 정보, 재무 정보, 특정 당사자의 독점 정보 또는 영업 비밀 포함)가 발견되면 테스트를 중단하고 즉시 당사에 알려야 하며 이 데이터를 다른 사람에게 공개하지 않아야 합니다. (24년 10월 4일 추가)

 

제 3 조 (신고 대상)

1.  본 프로그램의 대상이 되는 제품 및 서비스는 다음과 같습니다. (26년 1월 26일 수정)

단, 아래 점검 제외 대상은 포함되지 않습니다. (26년 1월 26일 추가)

  • 제3자 (Third-Party) 호스팅 서비스 및 솔루션 (26년 1월 26일 추가)

2. 지니언스 제품 및 서비스외에 대한 취약점은 불법적인 해킹 조장 우려 및 관련법(망법 48 조)에 따른 검증 권한 부재로 평가 및 포상대상에서 제외됩니다. (24년 10월 4일 추가)

 

제 4 조 (신고 기간 및 방법)

1. 본 프로그램은 상시로 진행합니다. 단, 지니언스는 필요에 따라 사전 통보 없이 본 프로그램을 종료할 수 있습니다.

2. 전항 단서에 따른 본 프로그램의 종료시점 이전에 참가자가 보고한 취약점이 있을 경우, 회사는 본 프로그램이 종료된 후라 하더라도 이를 검토하고 결과를 통보합니다.

3. 참가자는 지니언스가 안내한 방법으로 취약점을 신고해야 합니다. 그 외의 방법으로 신고된 취약점은 포상급 지급 대상에서 제외됩니다.

4. CSM 취약점 신고시 주의사항 (24년 10월 4일 추가)

  • CSM은 다음을 의미합니다. (26년 1월 26일 추가)
  • CSM 서비스의 취약점 신고 시, 버그바운티 전용 회원가입을 이용해야 하며, 전용 회원가입을 하지 않고 취약점 신고 시, 포상에서 제외될 수 있습니다. (25년 9월 22일 수정)
  • 버그바운티 전용 회원가입
  • CSM에서 버그바운티 테스트를 위해 한개 이상의 서버를 생성했다면 해당 버그바운티 테스트가 끝난 후에는 리소스 낭비를 줄이기 위해 서버를 삭제했다가 필요시 다시 서버를 생성해 주시길 부탁드리겠습니다. (25년 9월 22일 추가)

※ 버그바운티 전용 회원가입 : 제품이나 서비스에서 발견된 문제를 악의적으로 이용하지 않고, 선의로 보안 취약점을 신고하려는 의도인지 확인하기 위해 버그바운티 전용 회원가입 절차를 운영합니다. 이는 법적 책임이 수반될 수 있는 민감한 사안에 대해 신고자의 목적과 신원을 명확히 하기 위한 보호 장치입니다. (25년 9월 22일 추가)

 

제 5 조 (포상금)

1. 지니언스는 신고된 취약점의 심각성에 따라 회사의 재량으로 포상 금액을 결정합니다.

2. 취약점의 파급도 측면에서 보안 취약점 평가 국제 표준(CVSS 3.1)을 기반으로 공격 영향도와 난이도를 고려하여 평가점수를 산정하며 평가기준은 다음과 같습니다. (24년 10월 4일 추가 - 평가기준)

대분류 소분류 내용
악용 가능성 공격벡터 공격하기 위한 경로의 접근 용이성 정도
  공격의 복잡성 시스템 구성, 특성 설정 등 공격자 획득해야 하는 전제조건
  필요한 권한 공격자가 취약점을 공격하기 위해 필요한 권한 수준
  사용자 참여정도 취약점을 공격하기 위해 사용자가 수행해야 하는 요구사항
  영향범위 취약한 구성요소를 넘어 다른 권한 또는 자원에 영향을 미
칠 수 있는 정도
공격 영향도 기밀성 제품에 끼치는 기밀성 측면에서의 영향 정도
  무결성 제품에 끼치는 무결성 측면에서의 영향 정도
  가용성 제품에 끼치는 가용성 측면에서의 영향 정도

 

3. 산정된 CVSS점수에 따른 포상 금액 기준은 다음과 같습니다. (26년 1월 26일 수정)

CVSS 점수 취약점 심각도 포상금액(원)
9.0~10.0 심각(Critical) 5,400,000 ~ 9,000,000
7.0~8.9 높음(High) 2,520,000 ~ 3,600,000
4.0~6.9 중간(Medium) 720,000 ~ 1,800,000
0.1~3.9 낮음(Low) 240,000 ~ 480,000 

※ 단, 위 표는 취약점 평가점수에 따른 기준금액을 표시한 것으로 기재된 포상 금액이 보장되는 것은 아닙니다.
※ 달러화 지급이 필요한 외국인 신고자의 포상금은 포상금 지급 시 원-달러 환율을 적용하여 지급합니다. (23년 8월1일 추가)

4. 제7조 3항에 따라 포상금 제외 대상이 되더라도 소정의 보상금이 지급될 수 있습니다. (25년 9월 22일 수정)

 

제 6 조 (제출물 검토 및 포상 절차)

1. 회사는 취약점 신고서가 접수되면 제출물을 검토하고 적격성을 확인하며, 어떤 제출물이 적격한지 결정할 단독 재량권을 가집니다. 검토시간은 제출물의 복잡성과 완성도, 접수된 제출물의 수에 따라 달라집니다.

2. 회사는 동일한 참가자로부터 유사한 취약점에 대한 신고를 받는 경우, 여러건의 취약점 신고서로 접수되었더라도 동일한 취약점으로 판단되는 취약점을 하나의 취약점으로 간주합니다.

3. 다른 참가자로부터 동일한 취약점에 대한 여러 제출물을 수신하는 경우 포상금은 첫번째 적격 제출물에 부여됩니다. 다만 중복 보고서가 이전에 지니언스에 알려지지 않은 새로운 정보를 제공하는 경우 중복보고서를 제출한 신고자에게 포상금을 부여할 수 있습니다.

4. 회사는 참가자가 보고한 취약점의 포상금 지급 대상 여부가 결정된 경우 신고자의 이메일을 통해 참가자에게 그 취지를 통지합니다. 신고한 취약점이 해당 조건에 따라 버그바운티 자격이 있다고 판단되면 포상금액을 알리고 지급을 위해 필요한 서류를 요청합니다.

5. 참가자는 자신의 이메일 계정을 통해 회사로부터 정보를 제공하라는 요청을 받으면 회사가 지정한 포상금 지급에 필요한 유효하고 신뢰할만한 정보(이하 "정보")를 즉시 제공해야 합니다. 참가자가 회사의 요청일로부터 14일 이내에 정보를 제공하지 않은 경우 포상을 받을 권리를 포기한 것으로 간주합니다. 포상을 송금하기 위한 은행 송금 수수료는 회사가 부담합니다.

  • 한국의 은행 계좌를 보유한 참가자 : 포상 금액을 원화로 한국의 은행 계좌로 지급합니다.
  • 외국의 은행 계좌를 보유한 참가자 : 포상 금액을 달러화로 외국의 은행 계좌로 지급합니다

6. 포상금 수령에 필요한 은행 계좌는 참가자 본인의 것에 한하며, 계좌 명의인의 성명과 전항의 정보에 포함된 성명이 동일해야 합니다.

7. 포상금에 대한 세금은 참여자가 부담하며, 회사는 참여자가 속한 국가의 세금 정책에 따라 금액을 공제한 후 포상금을 지불합니다.

8. 다음의 경우에는 회사의 포상금 지급 의무는 소멸하는 것으로 합니다.

  • 회사가 참가자의 이메일 주소로 메시지를 보냈음에도 불구하고 참가자가 14일 이내에 응답을 하지 않은 경우(이메일 주소 입력시 오류가 있었던 경우 등을 포함함)
  • 참가자로부터 수령한 정보를 바탕으로 적절하게 송금 절차를 수행 했음에도 불구하고 참가자가 전부 또는 일부의 포상금을 수령하지 못한 경우(정보의 오류, 은행 시스템 장애, 참가자가 경제제재 대상자에 해당하는 경우 등을 포함함)

9. 참가자는 포상금을 수령할 권리를 제 3자에게 양도하거나 담보로 제공해서는 안됩니다.

10. 참가자가 본 약관을 위반한 사실이 밝혀진 경우, 회사는 해당 참가자에게 포상금의 지급을 거부하거나 지급된 포상금의 반환을 요구할 수 있습니다.

11. 취약점으로 확인된 신고서는 해당 취약점이 패치 또는 이행점검이 확인된 월의 익월말에 포상금이 지급 됩니다. 다만, 취약점 패치가 안된 경우에는 신고서 접수 후 60일이 지난 날짜의 익월말에 포상금이 지급됩니다.(23년 9월 1일 추가)

12. 취약점 심각도가 높음(High) 등급 이상의 신고서에 대해서는 회사는 참가자에게 패치확인 이후, 이행점검을 요청할 수 있습니다. 이행점검 요청 후 2주이내 이행점검 결과를 회신하지 않는 참가자에게는 포상금이 지급되지 않을 수 있습니다. (23년 9월 1일 추가)

13. 제출된 신고 내용에 대한 평가가 불충분하다고 판단되는 경우, 참가자에게 추가 자료를 요청할 수 있으며 요청일로부터 1주일 이내에 응답이 없을 경우 해당 신고는 무효 처리됩니다. (25년 9월 22일 추가)

 

제 7 조 (금지 사항 및 포상금 제외 조건)

1. 참가자는 버그바운티 프로그램에 참여하는 동안 다음의 행위를 해서는 안되며, 위반 시 포상에서 제외됨은 물론 법적 책임이 발생할 수 있습니다. (26년 1월 26일 수정)

  • 기타 법령에 위반하는 불법적인 행위, 타인의 권리 (지적 재산권, 상업적/재정적 이익 등)를 고의로 침해하는 행위 (26년 1월 26일 수정)
  • DoS/DDoS 공격, 자동화된 프로그램(스캐너)을 통한 과도한 서비스 스캐닝, 운영 시스템 중단 등 정상적인 서비스 운영을 방해하는 행위 (26년 1월 26일 수정)
  • 발견된 취약점을 이용하여 회사의 자산, 이용자의 데이터, 소스코드 등을 열람·삭제·수정·공개하는 행위 및 비정상적인 시스템 접근 (26년 1월 26일 수정)
  • 리버스 엔지니어링, 디컴파일, 디스어셈블 등 서비스를 복제·모방·변형하는 행위, 악성코드나 바이러스를 고의 또는 과실로 설치·유포하는 행위 (26년 1월 26일 수정)
  • 피싱, 스팸, 악성 URL 전달 등 사용자나 임직원을 기망하여 직접적인 피해를 주는 행위, 재산상 이익이나 타인 손해를 목적으로 허위 정보를 유통하는 행위 (26년 1월 26일 수정)
  • 취약점을 회사의 동의 없이 외부에 공개하거나 악의적인 목적으로 사용하는 행위, 프로그램/참가자 정보를 수집하기 위해 크롤링을 하는 행위 (26년 1월 26일 수정)
  • 품질이 낮은 보고서를 대량 제출하거나 본 프로그램의 목적 및 취지에 반하는 행위, 물리적 보안 시설(데이터 센터 등)에 대한 공격 (26년 1월 26일 수정)

2. 회사는 전항을 위반한 참가자에 대하여 본 프로그램 참여 자격을 박탈할 수 있으며, 포상금 대상에서 제외됩니다. 이 경우 발생하는 손해에 대한 책임은 참가자가 부담합니다. 또한 회사는 필요한 경우 참가자의 금지행위 사실을 관련 정부기관 또는 사법기관에 통지할 수 있습니다. (25년 9월 22일 수정)

3. 다음의 경우는 평가대상 및 포상대상에서 제외됩니다.

  • 취약점이 재현되지 않거나, 신고 정보가 허위/과장/불분명하여 파악이 불가능한 경우 (26년 1월 26일 수정)
  • 증명 없이 가능성만을 제시한 완벽하지 않은 리포트 (26년 1월 26일 수정)
  • 지니언스 내부에서 이미 인지 중이거나 타인/타기관에 먼저 제보/공개된 경우 (26년 1월 26일 수정)
  • 단종 제품 등 보안 업데이트 개발이 불가능한 제품인 경우 (26년 1월 26일 수정)
  • 단순 관리자 페이지 노출, 디버깅 응답값/에러 페이지/서버 어플리케이션 정보 노출 (26년 1월 26일 수정)
  • 클릭재킹(Clickjacking), 페이지 변조, 단순 버전 노출 (26년 1월 26일 수정)
  • HSTS, DNS Record, CSP 등 보안 헤더 미적용 및 단순 SSL 미적용 이슈 (26년 1월 26일 수정) 
  • 취약점으로 발생할 수 있는 피해가 매우 미미하거나 공격 가치가 현저히 낮은 경우 (26년 1월 26일 수정)
  • 본인에게만 영향이 미치는 취약점(Self-XSS 등) 및 직접 패킷 변조를 통한 자가 공격 (26년 1월 26일 수정)
  • 단순한 Reflected XSS (단, 중요 권한 탈취/기능 실행 입증 시 예외 인정) (26년 1월 26일 수정)
  • 보안 기능을 끄거나, OS/프레임워크의 보안 업데이트를 수행하지 않아 발생하는 경우 (26년 1월 26일 수정)
  • 과도한 사용자 개입이나 PC 장악/세션 탈취 등 극단적인 상황을 전제로 한 경우 (26년 1월 26일 수정)
  • 개발자 모드 활성 시에만 나타나는 현상이나 중간자 공격(MITM) (26년 1월 26일 수정)
  • 다양한 방법으로 NAC, ZTNA 에이전트(중지, 종료, 삭제 등)를 무력화하는 취약점 (26년 1월 26일 수정)
  • 필수 요소(OS, 3rd Party OSS 등) 자체의 문제이거나 업데이트로 해결되는 사항 (26년 1월 26일 수정)
  • 다크웹 등 제3자 데이터 유출 사이트(DeHashed 등)에서 수집된 계정 리스트의 단순 나열 (26년 1월 26일 수정)
  • DoS 관련 취약점 및 자동 스캐닝 도구로 발견한 단순 결과물 (26년 1월 26일 수정)
  • 취약점 증명 외에 불필요한 행위로 서버 정보를 획득한 경우 (26년 1월 26일 수정)
  • 의도적으로 스크립트 테스트 기능이 포함된 페이지에서의 스크립팅 공격 (26년 1월 26일 수정)
  • 피싱/URL Redirect를 이용하거나 프라이버시 보호에 관련된 내용 (26년 1월 26일 수정)
  • 신고서 동의 내용을 임의 변조하거나 신고서에 저작권 행사 등을 명시한 경우 (26년 1월 26일 수정)
  • CSM(제4조 4항 참고)에 대한 CSRF (26년 1월 26일 수정)
  • 그 외 보안상 위협이 적거나 없다고 판단되는 경우 (26년 1월 26일 수정)

단, 실질적인 보안 위협이나 침투 가능성을 입증(PoC)할 경우 운영진의 판단하에 예외적으로 인정될 수 있습니다. (26년 1월 26일 추가)

 

제 8 조 (권리 및 제출물 라이센스)

1. 참가자는 본 프로그램 참여에 필요한 범위 내에서, 제 3조의 신고 대상에 대한 수정·가공·복제 권한을 가집니다.

2. 참가자가 취약점 검증과 수정 방안을 검토함에 있어 발명, 고안, 의장의 창작, 저작 등(이하 "발명")을 한 경우, 발명 등에 대한 저작권을 포함한 모든 권리는 참가자가 이메일을 통해 회사에 해당 취약점을 제출함과 동시에 회사에 이전되고, 회사는 해당 권리를 자유롭게 행사 및 처분할 수 있습니다.

3. 지니언스가 참가자의 제출물과 유사하거나 동일한 자료를 개발할 수 있음을 이해하고 인정하며, 참가자의 제출물과의 유사성으로 인해 발생할 수 있는 모든 청구를 포기합니다.

4. 참가자의 제출물이 자신의 작업이고, 다른 사람이나 단체가 소유한 정보를 사용하지 않았으며, 지니언스에 제출물을 제공할 법적 권리가 있음을 보증합니다.

5. 발명 등이 저작물인 경우, 참가자는 당해 저작물에 관한 저작권을 회사 및 회사가 지정한 자에 대하여 주장하거나 행사하지 않아야 합니다.

 

제 9 조 (접수 제출물의 기밀 정보 취급)

1. 참가자는 취약점과 취약점을 통해 알게 된 정보(공격방법에 대한 세부정보 등)를 기밀 정보로 취급해야 하며, 신고 후에도 그 어떠한 목적으로도 당사를 제외한 제 3자에게 공개할 수 없습니다.

2. 신고서에 작성한 내용이 사실과 다르게 작성되거나, 당사를 제외한 제3자에게 취약점을 공개한(외부 컨퍼런스 발표 등) 경우, 비밀 유지 의무 등을 위반한 사실이 밝혀진 경우 다음과 같은 불이익을 당할 수 있습니다.

  • 밝혀진 날로부터 1년동안 평가 및 포상 대상에서 제외
  • 해당 취약점으로 이미 포상 받은 경우 포상 취소 및 지급 포상금 전액 환수 및 법적 대응

 

제 10 조 (개인 정보의 취급)

1. 회사는 개인정보보호법 등 관계 법령이 정하는 바에 따라 참가자의 개인 정보를 보호하기 위해 노력합니다.

2. 회사는 버그바운티 프로그램의 원활한 이용 및 기타 필요한 사무 처리를 위해 아래와 같은 최소한의 개인정보를 필수항목으로 수집하고 있습니다. (25년 12월 5일 수정)

  • 버그바운티 접수 시 : 성명, 영문명, 이메일, 연락처
  • 버그바운티 포상금 제공 시 : 주소, 계좌 정보

3. 회사는 참가자로부터 받은 개인 정보를 참가자가 마지막으로 신고한 취약점에 대한 포상을 결정하고 포상금을 지급한 날부터 관련 법령에 따라 5년 동안 보유합니다. (25년 12월 5일 수정)

4. 이외의 개인정보 처리 사항은 지니언스 개인정보 처리방침을 따릅니다. (25년 12월 5일 추가)

 

제 11 조 (책임 범위 및 손해배상)

1.  참가자는 자신의 책임하에 본 프로그램에 참여하며, 회사는 참가자의 고의 또는 과실에 기인하지 않는 한,  본 프로그램 참여로 인해 참가자가 입은 손해에 대해서 일체의 책임을 지지 않습니다. 또한 참가자 간 또는 참가자와 제3자 간의 분쟁에 대해 회사는 관여하지 않으며, 해당 분쟁은 참가자의 책임과 비용으로 해결하여야 합니다. (25년 9월 22일 수정)

2. 참가자가 본 약관을 위반하거나, 회사가 제공하는 서비스를 이용함에 있어 불법행위 또는 제3자의 권리를 침해함으로 인해 회사에 손해가 발생하거나 제3자로부터 이의제기 또는 손해배상 청구가 제기된 경우, 해당 참가자는 자신의 책임과 비용으로 회사를 면책시켜야 하며, 회사에 발생한 모든 손해(직접적 또는 간접적인 손해를 포함함)를 배상하여야 합니다. (25년 9월 22일 추가)

 

제 12 조 (약관의 변경)

1. 회사는 관련 법령을 위배하지 않는 범위에서 본 약관의 내용을 변경 할 수 있습니다.

2. 회사가 본 약관을 변경할 경우에는 적용일자를 명시하여 적용일자 최소 1주일전 홈페이지에 공지합니다.

3. 회사가 전항에 따라 개정약관을 공지하고 적용일자 이후에 취약점 신고서를 접수한 경우 참가자가 개정약관에 동의한 것으로 봅니다.

 

제 13 조 (준거법 및 재판관할)

1. 회사는 분쟁이 발생하지 않기를 바랍니다. 다만 분쟁이 발생하면 참가자와 회사는 60일 동안 비공식적으로 해결하기로 동의합니다.

2. 회사와 참가자간 제기된 소송은 대한민국법을 준거법으로 하며, 회사와 참가자간 발생한 분쟁에 관한 소송의 관할법원은 민사소송법에 따라 정합니다.

3. 해외에 주소나 거소가 있는 참가자의 경우 회사와 참가자 간 발생한 분쟁에 관한 소송은 전항에도 불구하고 대한민국 서울중앙지방법원을 관할법원으로 합니다.

 

제 14 조 (본 프로그램에 관한 문의)

지니언스 버그바운티 프로그램에 관한 모든 문의는 bugbounty@genians.com 으로 받고 있으며, 그 이외의 방법에 의한 문의는 받지 않습니다.

  • 이용약관 개정 및 적용일 : 2026-01-26

지니언스㈜

대표이사: 이동범 | 사업자등록번호: 129-81-80148
경기도 안양시 동안구 벌말로 66 하이필드 지식산업센터 A동 12층
T. 031-8084-9770 | F. 070-4332-1683

기술 지원 센터

T. 1600-9750
C. Slack Chat (평일 09시~18시)
E. tac@genians.com

문의 하기

COPYRIGHT © GENIANS, INC. ALL RIGHTS RESERVED.