운영 배경
버그바운티 (Bug Bounty)란 소프트웨어 또는 웹 서비스의 취약점을 찾아낸 사람에게 포상금을 지급하는 제도입니다.
주요 글로벌 기업은 자사 제품 및 서비스의 취약점 발굴 및 보안강화를 위해 버그바운티를 운영중에 있으며, 국내 기업들도 독립적인 버그바운티를 자체적으로 운영중입니다. 또한 국내 NCSC, KISA 는 취약점을 악용한 침해사고 예방을 위해서 보안 취약점 신고포상제를 운영하고 있으며, 지니언스는 KISA가 운영중인 신고 포상제도의 공동운영사로 참여하고 있습니다.
대상
다음의 제품 및 서비스에서 발생하는 취약점들을 신고 대상으로 합니다.
(대상 외의 제보는 포상 대상이 아닙니다.)
– NAC 제품 : Genian NAC V4.* 이상
– Cloud NAC CSM 서비스
– Genian Device Platform Intelligence API
– 지니언스 회사 홈페이지 등
참고) 지니언스 제품 및 서비스외에 대한 취약점은 불법적인 해킹 조장 우려 및 관련법(망법 제48조)에 따른 검증권한 부재로 평가 및 포상 대상에서 제외됩니다.
신고 및 포상 절차
2단계. 취약점 확인
지니언스는 신고 접수된 취약점 기본 정보를 파악하고 신규 취약점 여부를 판단합니다.
신고된 내용만으로 검증이 불가능한 경우 보완을 요청할 수 있으며, 신규 취약점 여부를 판단하여 신고자에게 피드백 합니다. (2주일이내)
3단계. 취약점 평가/패치
지니언스는 신규취약점으로 판단된 취약점에 대해서 평가기준에 따라 취약점 평가를 수행하고 취약점 해결을 위해 제품 및 서비스를 패치 합니다.
취약점 패치여부를 신고자에게 피드백 합니다. (매월말)
4단계. 포상금 지급 (월 단위)
취약점 패치 또는 이행점검(심각도 High 이상)이 확인되면 포상금액을 최종 확정하고 신고자에게 결과를 회신하고 포상금을 지급합니다.
단, 취약점 패치가 안된경우, 신고서 접수 후 60일이 지난날짜의 익월말에 지급됩니다.
포상금 지급 기준
CVSS 기준에 따른 평가점수에 따라 다음과 같이 차등 지급합니다. (건당 최소 240,000원 ~ 최대 9,000,000원)
참고) 무작위 대입공격, 서비스 거부 공격, 제3자의 계정이나 데이터에 접근, 허가 되지 않은 서버 침투 시도 등 취약점 분석 과정에서 비즈니스, 서비스, 사용자들에게 피해를 끼치는 경우 포상대상에서 제외됩니다.
| CVSS 점수 | 취약점 심각도 | 포상금액(원) | |
|---|---|---|---|
| 9.0~10.0 | 심각(Critical) | 5,400,000 ~ 9,000,000 | |
| 7.0~8.9 | 높음(High) | 2,520,000 ~ 3,600,000 | |
| 4.0~6.9 | 중간 (Medium) | 720,000 ~ 1,800,000 | |
| 0.1~3.9 | 낮음(Low) | 240,000 ~ 480,000 |
| 대분류 | 소분류 | 내용 |
|---|---|---|
| 공격 영향도 | 영향범위 | 취약한 구성요소를 넘어 다른 권한 또는 자원에 영향을 미칠 수 있는 정도 |
| 기밀성 | 제품에 끼치는 기밀성 측면에서의 영향 정도 | |
| 무결성 | 제품에 끼치는 무결성 측면에서의 영향 정도 | |
| 가용성 | 제품에 끼치는 가용성 측면에서의 영향 정도 | |
| 악용 가능성 | 공격벡터 | 공격하기 위한 경로의 접근 용이성 정도 |
| 공격의 복잡성 | 시스템 구성, 특성 설정 등 공격자 획득해야 하는 전제조건 | |
| 필요한 권한 | 공격자가 취약점을 공격하기 위해 필요한 권한 수준 | |
| 사용자 참여정도 | 취약점을 공격하기 위해 사용자가 수행해야 하는 요구사항 |
제약사항 및 취약점 공개정책
– 보안 취약점이 수정되고 대부분의 사용자(고객)가 업데이트할 때까지 신고된 취약점에 대한 자세한 정보는 제3자에게 공개하지 말아 주시기 바랍니다. 단, 지니언스가 서면 등으로 허가하는 경우에는 취약점에 대해서 공개할 수 있습니다.
– 다른 사용자에게 피해를 끼칠 수 있는 행위는 삼가해 주시기 바랍니다.
– 지니언스 및 관계사 임직원은 본 프로그램에 참여할 수 없습니다.
