Blog

  4월에는 해킹존에서 "타임디펜던스"와 "제주패스"의 버그바운티 프로그램 두 건을 신규로 시작했습니다. 또한 해킹존은 서비스 개편을 통해 제보된 보안 취약점의 보안 패치가 적절하게 이루어졌는지 확인하는 이행점검 프로세스를 추가하였습니다. 이 외에도 반응형 웹을 적용해 모바일 환경에서의 사용성을 향상시켰고, 보상금 출금이 가능한 월렛 기능이나 보안연구원이 자신만의 팀을 구성하고 팀단위 실적을 확인할 수 있는 팀플레이라는 새로운 기능들을 선보였습니다. 이행점검 프로세스는 무척이나 인상깊은 부분입니다. 보안 연구원은 제보한 취약점에 대한 포상금을 지급받았다고해서 기업과의 커넥션을 끝내지 않고 끝까지 기업과 소통하며 취약점 패치에 노력해야 합니다. 혹시 이행점검을 성실히 수행한 보안연구원에게는 해당 기업에서 좋은 평판을 주고 평판이 우수한 보안 연구원에게 향후 비공개 프로그램에 초대를 한다거나 하는 시스템이 있는지 모르겠으나 없다면 생겼으면 좋겠군요. 또 팀플레이 기능은 버그바운티에 아직 확신을 갖지 못하거나 보다 안전하고 효과적인 방법, 즉 프라이빗(비공개) 프로그램으로 버그바운티 프로그램 운영을 시작해보고자 하는 국내 기업들의 인식과 상황이 반영된 듯 합니다. 국내 실정에 적응해가며 기업 유치를 위해 플랫폼이 변해가는 모습은 긍정적으로 봐야 할 것 같습니다. 사실 일단 프라이빗으로 시작한 후 자산의 보안성이 일정 기대 수준에 미치게 되면 퍼블릭으로 전환하는 건 해외에서도 자주 발생하는 일입니다. 다만 현재 이 기능은 개인별 활동을 팀단위로 단순 실적 집계를 한 것으로 보이는데 팀플레이라는 이름에 걸맞게 보안 연구원의 팀 단위 활동을 지원하는 다양한 기능들(예를 들면 해커원의 취약점별 공헌도에 따른 포상금 분배 등)도 갖추어지면 좋을 듯 하고 팀 활동을 하지 않는 개인에게도 프라이빗 프로그램 참여 기회가 공정하고 공평하게 주어지길 기대해봅니다. 버그캠프에서 22년 3월부터 시작되었던 최신 프로그램 한 건을 포함해 운영 중이였던 몇 개의 프로그램이 중단되었습니다. 프로그램 시행 기간에 종료일자가 별도 게시되지 않았던 프로그램들이라 갑작스럽게 중단된 배경이나 이유가 조금은 궁금하네요. 다만 프로그램을 중단한 기업들이 버그바운티의 효과성에 대해 긍정적인 인식을 갖게 된 계기였길 바랍니다. 2022년 5월 국내 버그바운티 프로그램※ 소개되는 버그바운티 프로그램은 프로그램 시작일과 프로그램 시행 기간을 고려하여 선정됩니다. "신규"는 프로그램 시작일을 기준으로 당월에 새롭게 시작된 프로그램을 뜻하며, "기존"은 프로그램을 시행한지 오래되었더라도 글 작성 시점 기준으로 12개월 이내에 시작되고 시행기간이 유효한 프로그램을 의미합니다. ■ 신규 프로그램: 1건제주패스 (중지됨)제공 플랫폼: 해킹존기간: 2022년 4월 25일 - 2022년 5월 13일 (제주패스측 요청으로 4/29부 중지)최대 포상금: 1,000,000원타겟 시스템 유형: 웹프로그램URL: https://hackingzone.net/program/VTJGc2RHVmtYMTg3WHlZbHlqMkJkbERkV2lkMSs3V2Zia3FraE1IVVluVmdGQlg1K3NabXFsakRiWGM4S0czMA==/detail (로그인 후 확인 가능)타임디펜던스제공 플랫폼: 해킹존기간: 2022년 4월 20일 - 2022년 5월 14일최대 포상금: PoC 프로그램으로 포인트(최대 100P) 지급타겟 시스템 유형: 게임프로그램URL: https://hackingzone.net/program/VTJGc2RHVmtYMThUZkxlajFua0F3dTUrb0RuTFlWamFDQUswWmlsTWxvRm9qZkh6c01MN3RZUDhYdXU3dCtCaQ==/detail (로그인 후 확인 가능)■ 기존 프로그램: 12건BIFROST제공 플랫폼: 패치데이기간: 2022년 2월 7일 - 2023년 2월 7일  최대 포상금: 50,000,000원타겟 시스템 유형: BiFi, BiFi X, BiFi BTC Extension 스마트 컨트랙트의 최신버전 소스코드프로그램 URL: https://patchday.io/bifrost-pilab/bifrostKlaytn Blockchain제공 플랫폼: 패치데이기간: 2022년 1월 12일 - 2023년 1월 12일  최대 포상금: 50,000,000원타겟 시스템 유형: Klaytn 노드 및 스마트 컨트랙트의 소스코드, 블록체인 노드프로그램 URL: https://patchday.io/klaytn/klaytn-blockchainSamsung SDS 웹사이트제공 플랫폼: 해킹존기간: 2021년 6월 30일 - 2022년 5월 31일 최대 포상금: 10,000,000원타겟 시스템 유형: 웹 프로그램 URL: https://hackingzone.net/ProgramDetail/VTJGc2RHVmtYMThNWXg3OGRGNnltR3FGSEY4OURXeC9LRFZFK3kwVHdsbz0= (로그인 후 확인 가능)Samsung SDS 고객지원포탈제공 플랫폼: 해킹존기간: 2021년 6월 30일 - 2022년 5월 31일 최대 포상금: 10,000,000원타겟 시스템 유형: 웹 프로그램 URL: https://hackingzone.net/ProgramDetail/VTJGc2RHVmtYMStXKys5NWxKRXFLUkpHbkdiQXQzODBDcVlQMUV6Wkxzbz0= (로그인 후 확인 가능)Samsung Smart Lock제공 플랫폼: 해킹존기간: 2021년 6월 30일 - 2022년 5월 31일 최대 포상금: 10,000,000원타겟 시스템 유형: 시판중인 Push Pull 도어록(12종) 외 관련 ‘삼성 스마트 도어록’ Mobile App 및 디바이스 플랫폼 프로그램 URL: https://hackingzone.net/ProgramDetail/VTJGc2RHVmtYMStHUU44a015V2d5OGtVc0l6S24wNlEvU1c0bnNCQmR6Zz0= (로그인 후 확인 가능)CodeEngn 대표 홈페이지제공 플랫폼: 버그캠프기간: 2021년 6월 10일 - 최대 포상금: 500,000원타겟 시스템 유형: 웹프로그램 URL: https://bugcamp.io/programs/4d39f5f7058e3a6089a17e1beae024ab 한국CISSP협회 대표 홈페이지제공 플랫폼: 버그캠프기간: 2021년 6월 7일 -최대 포상금: 100,000원타겟 시스템 유형: 웹프로그램 URL: https://bugcamp.io/programs/4ca1fd4c425ccca6ba9d90911a5dd908Remote Browser제공 플랫폼: 버그캠프기간: 2021년 7월 21일 -최대 포상금: 500,000원타겟 시스템 유형: 웹프로그램 URL: https://bugcamp.io/programs/475e65db7e2b11c68ac1d7aeeea1bae2Webhacking.kr제공 플랫폼: 버그캠프기간: 2021년 8월 2일 부터최대 포상금: 1,500,000원 타겟 시스템 유형: 웹프로그램 URL: https://bugcamp.io/programs/441035cefaf0279ab99189ea3433443dNaver Whale제공 플랫폼: 패치데이기간: 2021년 10월 25일 - 최대 포상금: USD $7,500타겟 시스템 유형: 소프트웨어(네이버 웨일브라우저)프로그램 URL: https://patchday.io/naver/naver-whalePatchDay제공 플랫폼: 패치데이기간: 2021년 10월 5일 - 최대 포상금: 2,000,000원타겟 시스템 유형: 웹프로그램 URL: https://patchday.io/theori/patchday/Dreamhack제공 플랫폼: 패치데이기간: 2021년 10월 5일 - 최대 포상금: 2,000,000원타겟 시스템 유형: 웹프로그램 URL: https://patchday.io/theori/dreamhack

2022년 4월을 위한 빅샷입니다. 몇 개의 소식을 전하면서 시작해 봅니다.과기정통부, 보안 취약점 정보포탈 서비스 개시[이미지: 사이버 보안 취약점 정보포탈 스크린샷]과기정통부에서 한국인터넷진흥원과 함께 "보안 취약점 정보포탈"을 개설하여 3월 24일부터 서비스를 개시하였습니다. 취약점 정보포탈은 국내·외 보안 취약점을 체계적으로 수집·관리하고 수집된 정보를 다양한 이용자가 편리하게 확인·개선하기 위한 목적으로 탄생했습니다. 지금까지는 취약점 정보가 각 소프트웨어 제조사의 홈페이지에 개별적으로 게시되어 이용자들이 취약점을 신속하게 확인하고 조치하는데 한계가 있었던 반면 이제는 여기저기 찾아다닐 것 없이 취약점 정보포탈을 통해 보안 공지나 취약점 정보를 한 번에 모아 볼 수 있도록 하여 이용자들의 편리성과 접근성을 향상시킨 점은 매우 긍정적으로 보입니다. 또한 "핵더챌린지" 플랫폼을 취약점 정보포탈내에서 운영함으로써 화이트해커를 통한 취약점 발굴부터 조치하기까지의 과정을 체계적으로 관리하여 사이버 위협에 대한 역량을 강화할 수 있을 것으로 보입니다.[이미지: 과학기술정보통신부]악명을 떨치고 있는 해킹 그룹, 랩서스(LAPSUS$)[이미지: 네이키드 시큐리티]지난 한 달동안 업계를 가장 떠들썩하게 한 이슈는 주요 IT기업들을 해킹하고 기밀 데이타를 공개한 랩서스(LAPSUS$) 해킹 그룹일 것입니다. 국내 기업인 삼성전자와 LG전자는 물론 마이크로소프트, 엔비디아를 비롯한 여러 글로벌 IT기업들이 이들의 해킹 수법에 속수무책으로 당했습니다. 이들은 SNS를 통해 적극적으로 활동하고 있지만 이들의 정보는 여전히 극히 제한적이며 유명세에 고무되어 향후 더 활발히 활동할 가능성이 높을 것으로 보고 있습니다. 이들은 해킹을 위해 사회공학기법에 유독 집중하는 모습을 보였는데요. 타겟이 되는 기업 직원이나 파트너사 직원들을 통해 자격증명을 구매하거나 헬프데스크에 직접 전화를 하여 추가 정보를 알아내기도 했습니다. 심지어 해킹을 당한 기업의 사고 대응을 위한 줌(Zoom) 미팅에 참여하여 동태를 살피고 조롱하는 등 매우 과감하고 뻔뻔한 방법을 이용했다고 합니다. 아무튼 랩서스가 어떤 해킹 그룹이고 무슨 활동을 해왔는지가 궁금하시다면 S2W의 블로그에서 Footsteps of the LAPSUS$ 글을 참고해보시기 바랍니다. 며칠 전 영국 경찰은 랩서스와 관련된 7명을 체포하여 조사하고 귀가 조치했다고 밝히고, 옥스포드에 거주하는 16세 소년이 랩서스의 주요 인물이라고 보고 있다고 밝혔지만 이에 랩서스는 텔레그램을 통해 랩서스 멤버 중 그 누구도 체포되지 않았다고 반박했다고 하네요. 해커원, 카스퍼스키 버그바운티 프로그램 중단[이미지: 해커원]해커원에서 시행 중이던 카스퍼스키(Kaspersky)의 버그바운티 프로그램이 무기한 중단되었습니다. 카스퍼스키는 러시아의 안티바이러스 프로그램 업체입니다. 해커원의 이러한 조치는 러시아의 우크라이나 침공으로 인한 미국의 금융제재에 따른 것으로 보여집니다. 카스퍼스키는 해커원이 어떠한 사전 통보도 없이 일방적으로 중단했다고 밝히며 해커원으로부터 중단된 이유를 명확히 듣지 못했다고 주장했습니다. 또한 해커원의 일방적인 행태를 용납할 수 없다고 비판했으나 개인적으로는 푸틴의 전쟁이 계속되는한 프로그램이 다시 열리진 않을 것 같네요. 2022년 4월 국내 버그바운티 프로그램※ 소개되는 버그바운티 프로그램은 프로그램 시작일과 프로그램 시행 기간을 고려하여 선정됩니다. "신규"는 프로그램 시작일을 기준으로 당월에 새롭게 시작된 프로그램을 뜻하며, "기존"은 프로그램을 시행한지 오래되었더라도 글 작성 시점 기준으로 12개월 이내에 시작되고 시행기간이 유효한 프로그램을 의미합니다. ■ 신규 프로그램: 1건노르마 회사 홈페이지제공 플랫폼: 버그캠프기간: 2022년 3월 17일 -   최대 현상금: 1,000,000원타겟 시스템 유형: 웹프로그램 URL: https://bugcamp.io/programs/4ee8a46bd9b7dd2882b2b41f6d6bc0db■ 기존 프로그램: 19건BIFROST제공 플랫폼: 패치데이기간: 2022년 2월 7일 - 2023년 2월 7일  최대 현상금: 50,000,000원타겟 시스템 유형: BiFi, BiFi X, BiFi BTC Extension 스마트 컨트랙트의 최신버전 소스코드프로그램 URL: https://patchday.io/bifrost-pilab/bifrostKlaytn Blockchain제공 플랫폼: 패치데이기간: 2022년 1월 12일 - 2023년 1월 12일  최대 현상금: 50,000,000원타겟 시스템 유형: Klaytn 노드 및 스마트 컨트랙트의 소스코드, 블록체인 노드프로그램 URL: https://patchday.io/klaytn/klaytn-blockchainSamsung SDS 웹사이트제공 플랫폼: 해킹존기간: 2021년 6월 30일 - 2022년 12월 31일 최대 현상금: 10,000,000원타겟 시스템 유형: 웹 프로그램 URL: https://hackingzone.net/ProgramDetail/VTJGc2RHVmtYMThNWXg3OGRGNnltR3FGSEY4OURXeC9LRFZFK3kwVHdsbz0= (로그인 후 확인 가능)Samsung SDS 고객지원포탈제공 플랫폼: 해킹존기간: 2021년 6월 30일 - 2022년 12월 31일 최대 현상금: 10,000,000원타겟 시스템 유형: 웹 프로그램 URL: https://hackingzone.net/ProgramDetail/VTJGc2RHVmtYMStXKys5NWxKRXFLUkpHbkdiQXQzODBDcVlQMUV6Wkxzbz0= (로그인 후 확인 가능)Samsung Smart Lock제공 플랫폼: 해킹존기간: 2021년 6월 30일 - 2022년 12월 31일 최대 현상금: 10,000,000원타겟 시스템 유형: 시판중인 Push Pull 도어록(12종) 외 관련 ‘삼성 스마트 도어록’ Mobile App 및 디바이스 플랫폼 프로그램 URL: https://hackingzone.net/ProgramDetail/VTJGc2RHVmtYMStHUU44a015V2d5OGtVc0l6S24wNlEvU1c0bnNCQmR6Zz0= (로그인 후 확인 가능)엔큐리티제공 플랫폼: 버그캠프기간: 2021년 10월 12일 - 최대 현상금: 0원타겟 시스템 유형: 웹프로그램 URL: https://bugcamp.io/programs/4be6ca31e4e7777e989d13efcf858c13(주)내스타일제공 플랫폼: 버그캠프기간: 2021년 10월 13일 - 최대 현상금: 0원타겟 시스템 유형: 웹프로그램 URL: https://bugcamp.io/programs/42f84873c958644cb121e2a5af0d9457TARGOS제공 플랫폼: 버그캠프기간: 2021년 10월 19일 - 최대 현상금: 0원타겟 시스템 유형: 웹프로그램 URL: https://bugcamp.io/programs/42a3639e491c069da8be40a8d15df4f5찜 어플리케이션제공 플랫폼: 버그캠프기간: 2021년 10월 24일 - 최대 현상금: 0원타겟 시스템 유형: 모바일프로그램 URL: https://bugcamp.io/programs/48059806ce94fc0184b9d61d491de51c주식회사 스패로우제공 플랫폼: 버그캠프기간: 2021년 10월 25일 - 최대 현상금: 0원타겟 시스템 유형: 웹프로그램 URL: https://bugcamp.io/programs/49e3c23aa416ca8aa6b21fdc0b933a3eCodeEngn 대표 홈페이지제공 플랫폼: 버그캠프기간: 2021년 6월 10일 - 최대 현상금: 500,000원타겟 시스템 유형: 웹프로그램 URL: https://bugcamp.io/programs/4d39f5f7058e3a6089a17e1beae024ab 한국CISSP협회 대표 홈페이지제공 플랫폼: 버그캠프기간: 2021년 6월 7일 -최대 현상금: 100,000원타겟 시스템 유형: 웹프로그램 URL: https://bugcamp.io/programs/4ca1fd4c425ccca6ba9d90911a5dd908Remote Browser제공 플랫폼: 버그캠프기간: 2021년 7월 21일 -최대 현상금: 500,000원타겟 시스템 유형: 웹프로그램 URL: https://bugcamp.io/programs/475e65db7e2b11c68ac1d7aeeea1bae2Webhacking.kr제공 플랫폼: 버그캠프기간: 2021년 8월 2일 부터최대 현상금: 1,500,000원 타겟 시스템 유형: 웹프로그램 URL: https://bugcamp.io/programs/441035cefaf0279ab99189ea3433443dNaver Whale제공 플랫폼: 패치데이기간: 2021년 10월 25일 - 최대 현상금: USD $7,500타겟 시스템 유형: 소프트웨어(네이버 웨일브라우저)프로그램 URL: https://patchday.io/naver/naver-whalePatchDay제공 플랫폼: 패치데이기간: 2021년 10월 5일 - 최대 현상금: 2,000,000원타겟 시스템 유형: 웹프로그램 URL: https://patchday.io/theori/patchday/Dreamhack제공 플랫폼: 패치데이기간: 2021년 10월 5일 - 최대 현상금: 2,000,000원타겟 시스템 유형: 웹프로그램 URL: https://patchday.io/theori/dreamhack수산아이엔티제공 플랫폼: 버그캠프기간: 2021년 10월 27일 - 최대 현상금: 0원타겟 시스템 유형: 웹프로그램 URL: https://bugcamp.io/programs/4a35dad2cc737abcb5935dfd67c15759스마트 안심케어제공 플랫폼: 버그캠프기간: 2021년 11월 22일 - 최대 현상금: 0원타겟 시스템 유형: 웹프로그램 URL: https://bugcamp.io/programs/49b1cee7bb158f4ea9ebe4f7e74739e3

안녕하세요. 벌써 3월을 눈 앞에 두고 있습니다. 요 며칠간 매섭게 춥더니 오늘 점심식사 시간에 밖을 나가 제법 따사로워진 햇살을 받으니 '이제 겨울도 물러가고 봄이 오는구나. 계절은 또 변하고 있구나' 하는 생각이 들더군요. 계절은 변하지만 저는 여느 때와 다름없이 개인적 관점에서 흥미로웠던 업계 소식을 정리하면서 2022년 3월을 위한 빅샷을 시작해봅니다.네이버, 구글의 버그바운티 포상금 지급액 발표먼저 국내 네이버에서는 버그바운티 어워드를 시행해 참가자 3명에게 시상을 했다고 합니다. 네이버는 2021년 한 해동안 166명이 버그바운티 프로그램에 참여하였고 총 1억 1600만원의 포상금을 지급했다고 전했습니다. 네이버, 작년 버그바운티 참가자 3명 시상‘네이버 버그바운티 어워드’..총 1.1억 포상해외에서는 버그바운티 프로그램의 대장격인 구글 또한 2021년 한 해동안 버그를 제보한 참가자들에게 870만 달러(한화로 약 100억원)를 지급했다고 구글 시큐리티 블로그에서 밝혔는데요. 제보된 버그 중 크롬과 안드로이드가 상당한 비중을 차지했으며 작년에 비해 취약점 개수도 증가했다고 합니다. 혼자 232개의 안드로이드 취약점을 제보한 Aman Pandey라는 인도의 한 보안연구원은 구글로부터 특별 감사와 함께 6500만 루피를 지급받았다고 합니다. 구글, 2021년 한 해 동안 보안 전문가들에 870만 달러 지급시상이나 특별 감사를 받은 분들은 물론 버그바운티를 통해 각자의 기준에서 의미있는 성과를 거두신 모든 분들께 축하와 박수를 보내고 싶습니다.버그바운티에 진심인 카르다노 블록체인블록체인 업계에서도 버그바운티에 적극 참여하고 있는 모양새인데요. 그 중에서도 보안성이 뛰어나다고 유명한 카르다노(ADA)는 버그바운티 금액을 두 배로 늘리며 취약점 찾기에 박차를 가하고 있습니다. 블록체인 업계의 버그바운티 금액이 상대적으로 높아 경험있고 실력있는 많은 보안연구원들이 블록체인 버그바운티에 시간을 할애할 것 같네요.Cardano responds to DeFi hacks doubling its bug bounty for security vulnerabilities국내에서도 클레이튼에 이어 BIFROST가 국내 버그바운티 플랫폼 패치데이를 통해 버그바운티 프로그램을 신규로 시행했습니다. 아래 국내 버그바운티 프로그램 섹션에서 BIFROST 버그바운티 프로그램을 확인해보실 수 있습니다. 구글과 MS, OpenSSF의 알파-오메가 프로젝트 참여버그바운티 소식은 아니지만 작년 12월에 터졌던 Log4Shell 사건은 우리가 잊고 있었던 오픈소스 보안에 다시금 화두를 던졌습니다. 이젠 오픈소스 보안에 대해 가볍게 생각말고 진지하게 받아들일 시기이고 이미 세상은 움직이고 있습니다. 구글과 마이크로소프트는 오픈소스 소프트웨어 공급망의 보안 강화를 위해 많은 활동을 하는 오픈소스 보안재단(OpenSSF)의 알파-오메가 프로젝트에 참여한다고 합니다. MS·구글, Log4j 등 오픈소스 보안개선 앞장구글, MS.. 두 형님의 파워를 믿습니다. 2022년 3월 국내 버그바운티 프로그램※ 소개되는 버그바운티 프로그램은 프로그램 시작일과 프로그램 시행 기간을 고려하여 선정됩니다. "신규"는 프로그램 시작일을 기준으로 당월에 새롭게 시작된 프로그램을 뜻하며, "기존"은 프로그램을 시행한지 오래되었더라도 글 작성 시점 기준으로 12개월 이내에 시작되고 시행기간이 유효한 프로그램을 의미합니다. ■ 신규 프로그램: 1건BIFROST제공 플랫폼: 패치데이기간: 2022년 2월 7일 - 2023년 2월 7일  최대 현상금: 50,000,000원타겟 시스템 유형: BiFi, BiFi X, BiFi BTC Extension 스마트 컨트랙트의 최신버전 소스코드프로그램 URL: https://patchday.io/bifrost-pilab/bifrost■ 기존 프로그램: 18건Samsung SDS 웹사이트제공 플랫폼: 해킹존기간: 2021년 6월 30일 - 2022년 12월 31일 최대 현상금: 10,000,000원타겟 시스템 유형: 웹 프로그램 URL: https://hackingzone.net/ProgramDetail/VTJGc2RHVmtYMThNWXg3OGRGNnltR3FGSEY4OURXeC9LRFZFK3kwVHdsbz0= (로그인 후 확인 가능)Samsung SDS 고객지원포탈제공 플랫폼: 해킹존기간: 2021년 6월 30일 - 2022년 12월 31일 최대 현상금: 10,000,000원타겟 시스템 유형: 웹 프로그램 URL: https://hackingzone.net/ProgramDetail/VTJGc2RHVmtYMStXKys5NWxKRXFLUkpHbkdiQXQzODBDcVlQMUV6Wkxzbz0= (로그인 후 확인 가능)Samsung Smart Lock제공 플랫폼: 해킹존기간: 2021년 6월 30일 - 2022년 12월 31일 최대 현상금: 10,000,000원타겟 시스템 유형: 시판중인 Push Pull 도어록(12종) 외 관련 ‘삼성 스마트 도어록’ Mobile App 및 디바이스 플랫폼 프로그램 URL: https://hackingzone.net/ProgramDetail/VTJGc2RHVmtYMStHUU44a015V2d5OGtVc0l6S24wNlEvU1c0bnNCQmR6Zz0= (로그인 후 확인 가능)엔큐리티제공 플랫폼: 버그캠프기간: 2021년 10월 12일 - 최대 현상금: 0원타겟 시스템 유형: 웹프로그램 URL: https://bugcamp.io/programs/4be6ca31e4e7777e989d13efcf858c13(주)내스타일제공 플랫폼: 버그캠프기간: 2021년 10월 13일 - 최대 현상금: 0원타겟 시스템 유형: 웹프로그램 URL: https://bugcamp.io/programs/42f84873c958644cb121e2a5af0d9457TARGOS제공 플랫폼: 버그캠프기간: 2021년 10월 19일 - 최대 현상금: 0원타겟 시스템 유형: 웹프로그램 URL: https://bugcamp.io/programs/42a3639e491c069da8be40a8d15df4f5찜 어플리케이션제공 플랫폼: 버그캠프기간: 2021년 10월 24일 - 최대 현상금: 0원타겟 시스템 유형: 모바일프로그램 URL: https://bugcamp.io/programs/48059806ce94fc0184b9d61d491de51c주식회사 스패로우제공 플랫폼: 버그캠프기간: 2021년 10월 25일 - 최대 현상금: 0원타겟 시스템 유형: 웹프로그램 URL: https://bugcamp.io/programs/49e3c23aa416ca8aa6b21fdc0b933a3eCodeEngn 대표 홈페이지제공 플랫폼: 버그캠프기간: 2021년 6월 10일 - 최대 현상금: 500,000원타겟 시스템 유형: 웹프로그램 URL: https://bugcamp.io/programs/4d39f5f7058e3a6089a17e1beae024ab 한국CISSP협회 대표 홈페이지제공 플랫폼: 버그캠프기간: 2021년 6월 7일 -최대 현상금: 100,000원타겟 시스템 유형: 웹프로그램 URL: https://bugcamp.io/programs/4ca1fd4c425ccca6ba9d90911a5dd908Remote Browser제공 플랫폼: 버그캠프기간: 2021년 7월 21일 -최대 현상금: 500,000원타겟 시스템 유형: 웹프로그램 URL: https://bugcamp.io/programs/475e65db7e2b11c68ac1d7aeeea1bae2Webhacking.kr제공 플랫폼: 버그캠프기간: 2021년 8월 2일 부터최대 현상금: 1,500,000원 타겟 시스템 유형: 웹프로그램 URL: https://bugcamp.io/programs/441035cefaf0279ab99189ea3433443dNaver Whale제공 플랫폼: 패치데이기간: 2021년 10월 25일 - 최대 현상금: USD $7,500타겟 시스템 유형: 소프트웨어(네이버 웨일브라우저)프로그램 URL: https://patchday.io/naver/naver-whalePatchDay제공 플랫폼: 패치데이기간: 2021년 10월 5일 - 최대 현상금: 2,000,000원타겟 시스템 유형: 웹프로그램 URL: https://patchday.io/theori/patchday/Dreamhack제공 플랫폼: 패치데이기간: 2021년 10월 5일 - 최대 현상금: 2,000,000원타겟 시스템 유형: 웹프로그램 URL: https://patchday.io/theori/dreamhack수산아이엔티제공 플랫폼: 버그캠프기간: 2021년 10월 27일 - 최대 현상금: 0원타겟 시스템 유형: 웹프로그램 URL: https://bugcamp.io/programs/4a35dad2cc737abcb5935dfd67c15759스마트 안심케어제공 플랫폼: 버그캠프기간: 2021년 11월 22일 - 최대 현상금: 0원타겟 시스템 유형: 웹프로그램 URL: https://bugcamp.io/programs/49b1cee7bb158f4ea9ebe4f7e74739e3Klaytn Blockchain제공 플랫폼: 패치데이기간: 2022년 1월 12일 - 2023년 1월 12일  최대 현상금: 50,000,000원타겟 시스템 유형: Klaytn 노드 및 스마트 컨트랙트의 소스코드, 블록체인 노드프로그램 URL: https://patchday.io/klaytn/klaytn-blockchain

10월 25일 11시 20분경... 정말이지 황당무개한 사건이 있었습니다. 바로 KT발 인터넷 장애 입니다. KT에서 제대로 사고 한번 친거죠. 당일 점심식사 시간이 다 되어 식당 앞에서 QR코드 체크인을 하던 중 QR코드가 뜨지 않아 네이버, 카카오톡 등 QR코드 체크인이 지원되는 설치된 어플에서 모두 시도해보았지만 되지 않아 결국 방문일지에 수기 작성을 했었는데요. 몇 분 후 KT 유,무선 인터넷 장애임을 알았고 그 순간 깊은 빡침이 밀려왔었네요. KT 사용자분들은 모두 저와 같은 심정이셨을 거라 생각합니다.사건 발생 후 초반에는 KT에서 DDoS 공격이 원인이라 밝혔다가 불안감만 증폭시키고 3시간만에 라우팅 설정 오류라고 원인을 정정했었죠. 제대로 원인 파악도 안된 채로 이렇게 국민에게 성급히 알린 행태도 맘에 안들지만 라우팅 설정 오류라는 원인도 업계에서는 인터넷 사용 피크타임 때 라우팅 설정 작업이 말이 되느냐며 납득할 수 없다는 의견이 많군요. 이에 대해서는 KT에서 세부 답변을 통해 명백하게 밝혀주어야 할 듯 합니다. 인터넷 강국 대한민국의  3대 통신사 중 하나에서 이런 일이 발생했다는 사실은.. .음... 좀.... 암튼 더 말해 무엇하겠습니까?KT 인터넷 장애 건은 KT의 대응을 더 지켜볼 일이고 버그바운티 업계에서는 무슨 일이 있었을까요?국내에서는 티오리의 버그바운티 플랫폼 "패치데이"가 신규 오픈했습니다. 10월 중순에 출시를 하겠다는 티오리측의 기사를 본 적이 있어 수시로 확인을 해왔었는데 별다른 기사 보도도 없이 예정대로 출시가 되었습니다. 기존 해킹존, 버그캠프 그리고 패치데이까지 가세해 버그바운티 프로그램 목록이 더욱 다양해질 것 같아 무척 기대가 됩니다.박세준 티오리 "해커 실력 상향평준화 '시급'…자체 육성 목표"또한 꾸준히 시행되고 있는 KISA의 "핵 더 챌린지" 대회가 시작됩니다. KISA, 취약점 찾아라! ‘핵 더 챌린지’ 화이트해커 모집해외에서는 버그바운티의 효과를 가장 톡톡히 보고 있으며 Bughunter University 설립을 통해 구글의 버그를 신고하거나 해킹 기술을 연마하고 배울 수 있도록 지원하고 있는 구글에서 안드로이드 엔터프라이즈용 버그바운티 프로그램을 출시하였습니다. 놀라운 점은 최대 상금을 무려 USD $250,000로 설정하였다는 사실입니다.  Google launches a bug bounty program for Android Enterprise2021년 11월 국내 버그바운티 프로그램※ 소개되는 버그바운티 프로그램은 프로그램 시작일과 프로그램 시행 기간을 고려하여 선정됩니다. "신규"는 프로그램 시작일을 기준으로 당월에 새롭게 시작된 프로그램을 뜻하며, "기존"은 프로그램을 시행한지 오래되었더라도 글 작성 시점 기준으로 12개월 이내에 시작되고 시행기간이 유효한 프로그램을 의미합니다. 지난 달의 신규 프로그램 출시 건수는 그야말로 암울했습니다. 하지만 걱정도 잠시!! 이번 달의 건수는 실로 놀라웠고 우리를 기쁘게 만들었습니다. 10월 한달 동안에는 "버그캠프" 플랫폼에서 5건의 신규 프로그램을 출시하였고, 티오리의 "패치데이"라는 버그바운티 플랫폼의 등장과 함께 3건의 신규 프로그램이 출시되면서 지난 달의 걱정이 무색해졌습니다. 다만 버그캠프에서 새로 출시된 프로그램들의 포상금이 없다는 점은 아쉽긴 하지만 이 또한 국내 버그바운티 저변 확대 차원에서 기업들의 참여를 이끌어내고 기업들 스스로가 버그바운티의 이점을 체감하기 위한 과정일 것이라 생각해봅니다.■ 신규 프로그램: 8건엔큐리티제공 플랫폼: 버그캠프기간: 2021년 10월 12일 - 최대 현상금: 0원타겟 시스템 유형: 웹프로그램 URL: https://bugcamp.io/programs/4be6ca31e4e7777e989d13efcf858c13(주)내스타일제공 플랫폼: 버그캠프기간: 2021년 10월 13일 - 최대 현상금: 0원타겟 시스템 유형: 웹프로그램 URL: https://bugcamp.io/programs/42f84873c958644cb121e2a5af0d9457TARGOS제공 플랫폼: 버그캠프기간: 2021년 10월 19일 - 최대 현상금: 0원타겟 시스템 유형: 웹프로그램 URL: https://bugcamp.io/programs/42a3639e491c069da8be40a8d15df4f5찜 어플리케이션제공 플랫폼: 버그캠프기간: 2021년 10월 24일 - 최대 현상금: 0원타겟 시스템 유형: 모바일프로그램 URL: https://bugcamp.io/programs/48059806ce94fc0184b9d61d491de51c주식회사 스패로우제공 플랫폼: 버그캠프기간: 2021년 10월 25일 - 최대 현상금: 0원타겟 시스템 유형: 웹프로그램 URL: https://bugcamp.io/programs/49e3c23aa416ca8aa6b21fdc0b933a3eNaver Whale제공 플랫폼: 패치데이기간: 2021년 10월 25일 - 최대 현상금: USD $7,500타겟 시스템 유형: 소프트웨어(네이버 웨일브라우저)프로그램 URL: https://patchday.io/naver/naver-whalePatchDay제공 플랫폼: 패치데이기간: 2021년 10월 5일 - 최대 현상금: 2,000,000원타겟 시스템 유형: 웹프로그램 URL: https://patchday.io/theori/patchday/Dreamhack제공 플랫폼: 패치데이기간: 2021년 10월 5일 - 최대 현상금: 2,000,000원타겟 시스템 유형: 웹프로그램 URL: https://patchday.io/theori/dreamhack■ 기존 프로그램: 8건Samsung SDS 웹사이트제공 플랫폼: 해킹존기간: 2021년 5월 24일 - 2021년 12월 1일 (기한 연장)최대 현상금: 10,000,000원타겟 시스템 유형: 웹 프로그램 URL: https://hackingzone.net/ProgramDetail/18 (로그인 후 확인 가능)Samsung SDS 고객지원포탈제공 플랫폼: 해킹존기간: 2021년 5월 24일 - 2021년 12월 1일 (기한 연장)최대 현상금: 10,000,000원타겟 시스템 유형: 웹 프로그램 URL: https://hackingzone.net/ProgramDetail/23 (로그인 후 확인 가능)Samsung Smart Lock제공 플랫폼: 해킹존기간: 2021년 6월 8일 - 2021년 12월 1일 (기한 연장)최대 현상금: 10,000,000원타겟 시스템 유형: 시판중인 Push Pull 도어록(12종) 외 관련 ‘삼성 스마트 도어록’ Mobile App 및 디바이스 플랫폼 프로그램 URL: https://hackingzone.net/ProgramDetail/24 (로그인 후 확인 가능)CodeEngn제공 플랫폼: 버그캠프기간: 2021년 6월 10일 - 최대 현상금: 500,000원타겟 시스템 유형: 웹프로그램 URL: https://bugcamp.io/programs/4d39f5f7058e3a6089a17e1beae024ab 한국CISSP협회 대표홈페이지제공 플랫폼: 버그캠프기간: 2021년 6월 7일 -최대 현상금: 100,000원타겟 시스템 유형: 웹프로그램 URL: https://bugcamp.io/programs/4ca1fd4c425ccca6ba9d90911a5dd908Wargame.kr제공 플랫폼: 버그캠프기간: 2021년 7월 19일 -최대 현상금: 1,000,000원타겟 시스템 유형: 웹프로그램 URL: https://bugcamp.io/programs/460a759aa8747cacbe5f05028f451441Remote Browser제공 플랫폼: 버그캠프기간: 2021년 7월 21일 -최대 현상금: 500,000원타겟 시스템 유형: 웹프로그램 URL: https://bugcamp.io/programs/475e65db7e2b11c68ac1d7aeeea1bae2Webhacking.kr제공 플랫폼: 버그캠프기간: 2021년 8월 2일 부터최대 현상금: 1,500,000원 타겟 시스템 유형: 웹프로그램 URL: https://bugcamp.io/programs/441035cefaf0279ab99189ea3433443d

얼마 전 우리는 해킹존, 제로웨일, 버그캠프라는 국내 버그바운티 플랫폼을 발견했습니다. 해킹존에 대해서는 수개월 전부터 알고 있었지만 그 외 플랫폼들이 짧은 기간안에 새로이 탄생하고 서비스를 시작한다는 것은 매우 반가운 소식이였습니다. 인터넷에서는 아래와 같은 기사도 찾아 볼 수 있었습니다.확대되는 민간 '버그바운티' 시장…주도권 경쟁 '활활'국내 기업의 '버그 바운티' 시장 주도권 경쟁은 현재진행형...미래 전망·기업별 전략은?얼마 전까지만 하더라도 한국인터넷진흥원을 선봉장으로 정부에서 주관해오던 국내 버그바운티가 드디어 민간 주도의 시장으로 변하는 길목에 서 있는 것 같습니다. 이 시작의 결과는 모를 일이지만 향후 국내 버그바운티 시장이 해커와 기업들 모두에게 바람직하고 건전한 방향으로 정착해가길 바랄 뿐입니다. 이러한 변화에 맞추어 우리는 국내 버그바운티 프로그램을 소개하는 코너를 만들기로 했습니다.코너의 이름은 "BIG SHOT" 으로 카우보이 비밥이라는 일본 애니메이션에서 자주 등장하는 우주 현상금 사냥꾼을 위한 방송의 이름에서 빌려왔습니다. 사실 "BIG SHOT"이라는 이름에 걸맞지 않게 현상금의 액수가 터무니없이 적은 것은 사실입니다. 하지만 국내 버그바운티 시장은 이제 갓 걸음마 단계인 점을 감안해주시기 바랍니다. 2021년 7월 국내 버그바운티 프로그램소개되는 버그바운티 프로그램은 프로그램 시작일과 프로그램 시행 기간을 고려하여 선정됩니다. 단, 글 작성 이후에 시작된 경우는 익월의 글에 포함될 수 있는 점 양해 바랍니다.  본 글은 첫 프로그램 소개인 관계로 21년 7월 이전에 시작된 버그바운티 프로그램도 일부 포함합니다. Samsung SDS 웹사이트제공 플랫폼: 해킹존기간: 2021년 5월 24일 - 2021년 8월 31일최대 현상금: 10,000,000원타겟 시스템 유형: 웹 프로그램 URL: https://hackingzone.net/ProgramDetail/18 (로그인 후 확인 가능)Samsung Smart Lock제공 플랫폼: 해킹존기간: 2021년 6월 8일 - 2021년 8월 31일최대 현상금: 10,000,000원타겟 시스템 유형: 시판중인 Push Pull 도어록(12종) 외 관련 ‘삼성 스마트 도어록’ Mobile App 및 디바이스 플랫폼 프로그램 URL: https://hackingzone.net/ProgramDetail/24 (로그인 후 확인 가능)글로싸인 - 글로벌 전자계약 서비스제공 플랫폼: 해킹존기간: 2021년 6월 22일 - 2021년 8월 31일최대 현상금: 100,000원타겟 시스템 유형: 웹프로그램 URL: https://hackingzone.net/ProgramDetail/25 (로그인 후 확인 가능)CodeEngn제공 플랫폼: 버그캠프기간: 2021년 6월 10일 - 최대 현상금: 500,000원타겟 시스템 유형: 웹프로그램 URL: https://bugcamp.io/programs/4d39f5f7058e3a6089a17e1beae024ab 한국CISSP협회 대표홈페이지제공 플랫폼: 버그캠프기간: 2021년 6월 7일 -최대 현상금: 100,000원타겟 시스템 유형: 웹프로그램 URL: https://bugcamp.io/programs/4ca1fd4c425ccca6ba9d90911a5dd908모꼬지심제공 플랫폼: 제로웨일기간: 2021년 4월 9일 - 2021년 12월 31일 최대 현상금: 700,000원타겟 시스템 유형: 웹프로그램 URL: https://zerowhale.io/mokojisim