버그바운티에 대해 알아보세요.
버그바운티 플랫폼은 버그바운티 프로그램을 시행하는 기업과 보안 연구원을 연결해주며, 보안 연구원이 제출한 레포트의 검증, 연구원과 기업간의 의사소통 지원, 포상 지급 등을 수행하며 버그바운티 프로그램을 관리해주는 서비스입니다. 구글이나 페이스북과 같이 자체 플랫폼을 구축하여 버그바운티를 시행하고 있는 기업들도 있지만 대다수의 기업들은 전 세계의 보안 연구원이 제출하는 엄청난 양의 버그 레포트들을 일일이 검토하고, 보안 연구원 개개인을 대응하기에는 인력 등의 자원 한계로 인한 어려움이 있습니다. 따라서 버그바운티 프로그램 운영 효율화를 원하는 기업들이나 버그바운티 운영 경험이 부족한 기업들이 버그바운티 플랫폼을 이용하고 있습니다.
버그바운티를 시행하려는 기업은 버그바운티 플랫폼에 기업으로서 가입하고, 자신의 버그바운티 프로그램을 등록합니다.
이 때, 테스트할 타겟의 범위(웹사이트의 도메인이나 IP주소, 모바일앱 등), 중점적으로 테스트할 버그의 유형,
버그 유형이나 위험도별 포상금 액수, 포상에서 제외되는 버그의 유형, 테스트시 보안 연구원이 유의할 사항 등의 몇 가지 규칙을 정의하게 됩니다.
보안 연구원은 버그바운티 플랫폼에 보안 연구원으로 가입하고, 마음에 드는 버그바운티 프로그램을 선택하여 해당 프로그램의 규칙을 준수하는 조건하에서 취약점을 찾습니다.
찾은 모든 취약점은 버그바운티 플랫폼의 보고 프로세스를 통해 보고가 되어야 합니다.
보고된 취약점은 버그바운티 플랫폼과 프로그램 소유자를 통해 검증을 거치게 되고,
마침내 유효한 버그로 인정될 경우 최초로 보고한 연구원에게 포상금 또는 명성(Kudos)등의 포인트, 사은품 등이 지급됩니다.
보안 연구원은 기업이 버그를 올바르게 패치를 할 수 있도록 가이드를 제공해야 합니다.
국내 버그바운티 플랫폼
| 플랫폼 | 프로그램 유형 | 특징 |
|---|---|---|
| 파인더갭 (구,해킹존) |
공개/비공개 | 가상 환경을 이용한 버그바운티를 시행할 수 있다는 특징이 있으며, 이를 활용할 경우 참여 기업 입장에서는 다양한 취약점을 발견할 수 있는 기회가 제공되고, 보안 연구원 입장에서는 자유로운 테스트를 할 수 있다는 장점이 있습니다. |
| zerowhale | 공개/비공개 | 파스텔 플래닛이라는 국내 스타트업에서 운영하는 신생 플랫폼으로 중소 기업 및 스타트업 기업을 주요 대상으로 합니다. |
| BugCamp | 공개/비공개 | (주)엔키에서 운영하는 플랫폼으로, 보안 컨설팅 및 취약점 제보 경험이 많은 해커들과 버그바운티 프로그램을 직접 운영한 경험이 있는 엔지니어가 모여 탄생했습니다. 웹, 모바일, 데스크탑, 게임, 하드웨어, 인프라 등 다양한 환경에서 발생 가능한 취약점을 연구할 수 있으며, 문제 해결과 동시에 해커의 지갑으로 바운티가 즉시 지급되는 특징이 있습니다. |
| PatchDay | 공개/비공개 | 보안교육 플랫폼 드림핵을 운영하는 티오리에서 해커 육성부터 활동, 보상까지 전주기에 걸쳐 지원할 수 있는 생태계를 마련하는 데에 방점을 두고 만든 플랫폼입니다. |
해외 버그바운티 플랫폼
| 플랫폼 | 프로그램 유형 | 특징 |
|---|---|---|
| HackerOne | 공개/비공개 | 동종업계 최대 규모의 플랫폼이며, 버그바운티를 비즈니스 모델로서 상업화에 성공한 선구자 중 하나입니다. |
| Bugcrowd | 공개/비공개 | 가장 오래된(2011년 설립) 플랫폼이며, HackerOne과 더불어 버그바운티 플랫폼의 양대산맥 중 하나입니다. |
| Intigrity | 공개 | 유럽의 버그바운티 플랫폼입니다. |
| Synack | 비공개 | - |
| Open Bug Bounty | 공개 | 비영리 목적의 플랫폼으로 서버 혹은 애플리케이션에 직접적인 피해를 주지 않는 비침입(Non-Intrusive) 테스트만을 허용합니다. |
| Detectify | 비공개 | - |
| Zerocopter | 비공개 | |
| YesWeHack | 공개/비공개 | 유럽에서 최초로 만들어진 버그바운티 플랫폼입니다. |
| HackenProof | 공개/비공개 | 암호화폐, 블록체인 사이버 보안에 중점을 두고 있습니다. |
| Bugbounty.jp | 공개 | 일본의 버그바운티 플랫폼입니다. |
| Antihack.me | 공개/비공개 | - |
| SafeHats | 공개/비공개 | |
| RedStorm | 공개 | - |
| Cyber Army ID | 공개/비공개 | - |
| Plugbounty | 공개/비공개 | 최초의 오픈소스 컴포넌트(Wordpress, Drupal, Joomla 등의 플러그인)를 대상으로 한 버그바운티 플랫폼으로 아직 베타 버전(2020년 4월 기준)입니다. |
| thebugbounty | 공개/비공개 | 말레이시아에 위치한 플랫폼입니다. |
| Secuna | 공개/비공개 | 필리핀에서 만들어진 플랫폼입니다. |
| Immunefi(이뮨파이) | 공개/비공개 | Web3 및 스마트 컨트랙트 보안에 중점을 둔 버그 바운티 플랫폼입니다. |