운영 배경
버그바운티 (Bug Bounty)란 소프트웨어 또는 웹 서비스의 취약점을 찾아낸 사람에게 포상금을 지급하는 제도입니다.
주요 글로벌 기업은 자사 제품 및 서비스의 취약점 발굴 및 보안강화를 위해 버그바운티를 운영중에 있으며, 국내 기업들도 독립적인 버그바운티를 자체적으로 운영중입니다. 또한 국내 NCSC, KISA 는 취약점을 악용한 침해사고 예방을 위해서 보안 취약점 신고포상제를 운영하고 있으며, 지니언스는 KISA가 운영중인 신고 포상제도의 공동운영사로 참여하고 있습니다.


대상
다음의 제품 및 서비스에서 발생하는 취약점들을 신고 대상으로 합니다.
(대상 외의 제보는 포상 대상이 아닙니다.)
– NAC 제품 : Genian NAC V4.* 이상
– Cloud NAC CSM 서비스 : https://my.demo.genians.co.kr/
참고) 지니언스 홈페이지 등 현재 운영 중인 서비스에 대한 취약점은 불법적인 해킹 조장 우려 및 관련법(망법 제48조)에 따른 검증권한 부재로 평가 및 포상 대상에서 제외됩니다. 단, 서비스 취약점 발굴을 위해 지니언스가 허용하는 경우에만 가능합니다.
신고 및 포상 절차


2단계. 취약점 접수 확인 (수시)
지니언스는 신고 접수된 취약점 기본 정보를 파악하고 신규 취약점 여부를 판단합니다.
신고된 내용만으로 검증이 불가능한 경우 보완을 요청할 수 있으며, 신규 취약점이 아닌 경우 신고자에게 피드백 합니다.

3단계. 취약점 평가 (월 단위)
지니언스는 전월 말일까지 접수된 신규취약점으로 판단된 취약점에 대해서 평가기준에 따라 취약점 평가를 수행합니다.

4단계. 포상금 지급 (월 단위)
지니언스는 월 단위로 취약점 평가결과에 따른 포상금액을 최종 확정하고 신고자에게 결과를 회신하고 포상금을 지급합니다.
포상금 지급 기준
25점(100점 만점) 이상인 취약점을 대상으로 평가점수에 따라 다음과 같이 차등 지급합니다. (건당 최소 $200 ~ 최대 $5,000)
참고) 무작위 대입공격, 서비스 거부 공격, 제3자의 계정이나 데이터에 접근, 허가 되지 않은 서버 침투 시도 등 취약점 분석 과정에서 비즈니스, 서비스, 사용자들에게 피해를 끼치는 경우 포상대상에서 제외됩니다.

평가점수 | 취약점 중요도 | 포상금액 (USD) | 포상금액 (1$=1,200원) |
---|---|---|---|
81 ~ 100 | 중요(Critical) | $3,000 ~ $5,000 | 360만원 ~ 600만원 |
61 ~ 80 | 심각(Severe) | $1,400 ~ $2,000 | 168만원 ~ 240만원 |
41 ~ 60 | 보통(Moderate) | $600 ~ $1,000 | 72만원 ~ 120만원 |
25 ~ 40 | 낮음(Low) | $200 ~ $400 | 24만원 ~ 48만원 |
취약점의 파급도 측면에서 보안 취약점 평가 국제 표준(CVSS 3.1)을 기반으로 공격 영향도와 난이도를 평가하고,
영향 받는 시스템의 보급도와 취약점 발굴 수준을 고려하여 평가점수를 산정합니다.
대분류 | 소분류 | 내용 |
---|---|---|
보급도 | 보급범위 | 해당 취약점이 발견된 제품의 보급 정도 |
제한범위 | 침해 가능한 SW에 대한 제한사항 | |
공격 영향도 | 영향범위 | 취약한 구성요소를 넘어 다른 권한 또는 자원에 영향을 미칠 수 있는 정도 |
기밀성 | 제품에 끼치는 기밀성 측면에서의 영향 정도 | |
무결성 | 제품에 끼치는 무결성 측면에서의 영향 정도 | |
가용성 | 제품에 끼치는 가용성 측면에서의 영향 정도 | |
공격 난이도 | 공격벡터 | 공격하기 위한 경로의 접근 용이성 정도 |
공격복잡도 | 시스템 구성, 특성 설정 등 공격자 획득해야 하는 전제조건 | |
권한요구도 | 공격자가 취약점을 공격하기 위해 필요한 권한 수준 | |
사용자상호작용 | 취약점을 공격하기 위해 사용자가 수행해야 하는 요구사항 | |
발굴수준 | 발굴 난이도 | 취약점 발굴 시 기술의 난이도 |
문서완성도 | 신고문서에 대한 내용의 충실도 및 구성의 완성도 |

제약사항 및 취약점 공개정책
– 보안 취약점이 수정되고 대부분의 사용자(고객)가 업데이트할 때까지 신고된 취약점에 대한 자세한 정보는 제3자에게 공개하지 말아 주시기 바랍니다. 단, 지니언스가 서면 등으로 허가하는 경우에는 취약점에 대해서 공개할 수 있습니다.
– 다른 사용자에게 피해를 끼칠 수 있는 행위는 삼가해 주시기 바랍니다.
– 지니언스 및 관계사 임직원은 본 프로그램에 참여할 수 없습니다.
보안 취약점 신고 및 포상절차 관련 문의사항은 bugbounty@genians.com 으로 보내주시기 바랍니다.