지니언스의 버그바운티 프로그램은 국내외의 보안전문가들의 도움으로 제품 및 서비스의 보안 취약점을 빠르게 찾아 고치고,
보안전문가들의 노력에 적절한 보상을 지급함으로써 제품을 더욱 안전하게 만드는 일을 장려합니다.

운영 배경

버그바운티 (Bug Bounty)란 소프트웨어 또는 웹 서비스의 취약점을 찾아낸 사람에게 포상금을 지급하는 제도입니다.
주요 글로벌 기업은 자사 제품 및 서비스의 취약점 발굴 및 보안강화를 위해 버그바운티를 운영중에 있으며, 국내 기업들도 독립적인 버그바운티를 자체적으로 운영중입니다. 또한 국내 NCSC, KISA 는 취약점을 악용한 침해사고 예방을 위해서 보안 취약점 신고포상제를 운영하고 있으며, 지니언스는 KISA가 운영중인 신고 포상제도의 공동운영사로 참여하고 있습니다.

대상

다음의 제품 및 서비스에서 발생하는 취약점들을 신고 대상으로 합니다.
(대상 외의 제보는 포상 대상이 아닙니다.)

– NAC 제품 : Genian NAC V4.* 이상

– Cloud NAC CSM 서비스 : https://my.demo.genians.co.kr/

참고) 지니언스 홈페이지 등 현재 운영 중인 서비스에 대한 취약점은 불법적인 해킹 조장 우려 및 관련법(망법 제48조)에 따른 검증권한 부재로 평가 및 포상 대상에서 제외됩니다. 단, 서비스 취약점 발굴을 위해 지니언스가 허용하는 경우에만 가능합니다.

* 참고 : Genian NAC Security Advisories

신고 및 포상 절차

1단계. 보안 취약점 신고서 접수 (수시)

보안 취약점 신고서 양식 : 다운로드

취약점 접수(이메일) : bugbounty@genians.com

2단계. 취약점 접수 확인 (수시)

지니언스는 신고 접수된 취약점 기본 정보를 파악하고 신규 취약점 여부를 판단합니다.

신고된 내용만으로 검증이 불가능한 경우 보완을 요청할 수 있으며, 신규 취약점이 아닌 경우 신고자에게 피드백 합니다.

3단계. 취약점 평가 (월 단위)

지니언스는 전월 말일까지 접수된 신규취약점으로 판단된 취약점에 대해서 평가기준에 따라 취약점 평가를 수행합니다.

4단계. 포상금 지급 (월 단위)

지니언스는 월 단위로 취약점 평가결과에 따른 포상금액을 최종 확정하고 신고자에게 결과를 회신하고 포상금을 지급합니다.

포상금 지급 기준

25점(100점 만점) 이상인 취약점을 대상으로 평가점수에 따라 다음과 같이 차등 지급합니다. (건당 최소 $200 ~ 최대 $5,000)
참고) 무작위 대입공격, 서비스 거부 공격, 제3자의 계정이나 데이터에 접근, 허가 되지 않은 서버 침투 시도 등 취약점 분석 과정에서 비즈니스, 서비스, 사용자들에게 피해를 끼치는 경우 포상대상에서 제외됩니다.

평가점수	취약점 중요도	포상금액 (USD)	포상금액 (1$=1,200원)
81 ~ 100	중요(Critical)	$3,000 ~ $5,000	360만원 ~ 600만원
61 ~ 80	심각(Severe)	$1,400 ~ $2,000	168만원 ~ 240만원
41 ~ 60	보통(Moderate)	$600 ~ $1,000	72만원 ~ 120만원
25 ~ 40	낮음(Low)	$200 ~ $400	24만원 ~ 48만원

보안 취약점 평가 국제 표준(CVSS 3.1)

대분류	소분류	내용
보급도	보급범위	해당 취약점이 발견된 제품의 보급 정도
	제한범위	침해 가능한 SW에 대한 제한사항
공격 영향도	영향범위	취약한 구성요소를 넘어 다른 권한 또는 자원에 영향을 미칠 수 있는 정도
	기밀성	제품에 끼치는 기밀성 측면에서의 영향 정도
	무결성	제품에 끼치는 무결성 측면에서의 영향 정도
	가용성	제품에 끼치는 가용성 측면에서의 영향 정도
공격 난이도	공격벡터	공격하기 위한 경로의 접근 용이성 정도
	공격복잡도	시스템 구성, 특성 설정 등 공격자 획득해야 하는 전제조건
	권한요구도	공격자가 취약점을 공격하기 위해 필요한 권한 수준
	사용자상호작용	취약점을 공격하기 위해 사용자가 수행해야 하는 요구사항
발굴수준	발굴 난이도	취약점 발굴 시 기술의 난이도
	문서완성도	신고문서에 대한 내용의 충실도 및 구성의 완성도