Blog


버그바운티 클럽이 전해드리는 이야기를 확인하세요.



[BIG SHOT] 국내 버그바운티 프로그램 소개 - 2021년 10월

9월에 흥미를 끈 버그바운티 관련 기사는 애플 버그바운티 프로그램에 대한 보안연구원들의 불만과 비난에 관한 기사였습니다.Security Researchers Unhappy With Apple's Bug Bounty Program“The house always wins”: Another criticism of Apple’s bug bounty program기사에 따르면 애플은 보안연구원과의 의사소통을 기피하며 보고된 버그를 패치하는데 늑장을 부릴 뿐만 아니라 버그에 대한 보상도 없다고 비난했습니다. 2020년 한해 동안 애플이 버그바운티를 통해 지급된 보상금 액수(370만 달러)가 마이크로소프트(1360만 달러)나 구글(670만 달러)과 비교해 현저히 낮았습니다. 결국 애플의 버그바운티는 보안연구원이 기피하는 프로그램으로 전락하고 말았고, 발견한 애플의 버그는 애플에 보고하기보다는 다른 경로로 판매되었습니다. 애플의 태도가 개선되지 않는다면 애플은 취약점 투성이인 아이폰을 고객에게 판매하고 이는 보안사고로 이어져 더 큰 비용을 지불해야 할 수도 있습니다. 그나저나 보안연구원 입장에서 의사소통이 잘 안되는 것만 해도 심각하다고 여길텐데 가장 중요한 금전적 보상도 차일피일 미루어왔다니 보안연구원이 화가 날만 합니다. 아무튼 이런 해외의 사례를 반면교사로 삼아 국내에서 버그바운티를 시행하고 있거나 앞으로 시행할 기업들은 같은 실수를 범하지 않기를 바랍니다.2021년 10월 국내 버그바운티 프로그램올해 7월경 민간에서 해킹존, 버그캠프 등의 국내 버그바운티 플랫폼을 출시해 서비스를 시작했고, 이에 우리는 국내 버그바운티 프로그램을 소개하기 위해 빅샷 코너를 만들었습니다. 지금 읽고 계신 이 글은 빅샷 코너의 네 번째 글임에도 불구하고 매우 매우 매우 아쉽게도 벌써부터 소개해드릴 수 있는 국내 신규 버그바운티 프로그램이 고갈되어 버렸습니다. 아직 버그바운티에 대한 국내 기업들의 낮은 인지도와 부정적 인식, 기타 여러 요인들로 인한 상황이라 여기며 이런 어려운 상황 속에서도 버그바운티 플랫폼을 서비스하며 국내 기업들의 참여를 이끌어내려고 노력하시는 분들의 노고에 감사드려야 할 것 같습니다. 속도는 좀 느리더라도 프로그램 오너, 소비자, 보안연구원 모두가 윈윈할 수 있는 건전한 버그바운티 문화가 국내에 정착되기를 기대해봅니다. 소개되는 버그바운티 프로그램은 프로그램 시작일과 프로그램 시행 기간을 고려하여 선정됩니다. 이번 글부터는 신규 프로그램과 기존 프로그램으로 구분되어 소개해드릴 예정이며, "신규"는 프로그램 시작일을 기준으로 당월에 새롭게 시작된 프로그램을 뜻하며, "기존"은 프로그램을 시행한지 오래되었더라도 글 작성 시점 기준으로 12개월 이내에 시작되고 시행기간이 유효한 프로그램을 의미합니다. ■ 신규 프로그램없음■ 기존 프로그램CodeEngn제공 플랫폼: 버그캠프기간: 2021년 6월 10일 - 최대 현상금: 500,000원타겟 시스템 유형: 웹프로그램 URL: https://bugcamp.io/programs/4d39f5f7058e3a6089a17e1beae024ab 한국CISSP협회 대표홈페이지제공 플랫폼: 버그캠프기간: 2021년 6월 7일 -최대 현상금: 100,000원타겟 시스템 유형: 웹프로그램 URL: https://bugcamp.io/programs/4ca1fd4c425ccca6ba9d90911a5dd908Wargame.kr제공 플랫폼: 버그캠프기간: 2021년 7월 19일 -최대 현상금: 1,000,000원타겟 시스템 유형: 웹프로그램 URL: https://bugcamp.io/programs/460a759aa8747cacbe5f05028f451441Remote Browser제공 플랫폼: 버그캠프기간: 2021년 7월 21일 -최대 현상금: 500,000원타겟 시스템 유형: 웹프로그램 URL: https://bugcamp.io/programs/475e65db7e2b11c68ac1d7aeeea1bae2Webhacking.kr제공 플랫폼: 버그캠프기간: 2021년 8월 2일 부터최대 현상금: 1,500,000원 타겟 시스템 유형: 웹프로그램 URL: https://bugcamp.io/programs/441035cefaf0279ab99189ea3433443d모꼬지심제공 플랫폼: 제로웨일기간: 2021년 4월 9일 - 2021년 12월 31일 최대 현상금: 700,000원타겟 시스템 유형: 웹프로그램 URL: https://zerowhale.io/mokojisim 
 2021-09-28 11:22 KST      920

[BIG SHOT] 국내 버그바운티 프로그램 소개 - 2021년 7월

얼마 전 우리는 해킹존, 제로웨일, 버그캠프라는 국내 버그바운티 플랫폼을 발견했습니다. 해킹존에 대해서는 수개월 전부터 알고 있었지만 그 외 플랫폼들이 짧은 기간안에 새로이 탄생하고 서비스를 시작한다는 것은 매우 반가운 소식이였습니다. 인터넷에서는 아래와 같은 기사도 찾아 볼 수 있었습니다.확대되는 민간 '버그바운티' 시장…주도권 경쟁 '활활'국내 기업의 '버그 바운티' 시장 주도권 경쟁은 현재진행형...미래 전망·기업별 전략은?얼마 전까지만 하더라도 한국인터넷진흥원을 선봉장으로 정부에서 주관해오던 국내 버그바운티가 드디어 민간 주도의 시장으로 변하는 길목에 서 있는 것 같습니다. 이 시작의 결과는 모를 일이지만 향후 국내 버그바운티 시장이 해커와 기업들 모두에게 바람직하고 건전한 방향으로 정착해가길 바랄 뿐입니다. 이러한 변화에 맞추어 우리는 국내 버그바운티 프로그램을 소개하는 코너를 만들기로 했습니다.코너의 이름은 "BIG SHOT" 으로 카우보이 비밥이라는 일본 애니메이션에서 자주 등장하는 우주 현상금 사냥꾼을 위한 방송의 이름에서 빌려왔습니다. 사실 "BIG SHOT"이라는 이름에 걸맞지 않게 현상금의 액수가 터무니없이 적은 것은 사실입니다. 하지만 국내 버그바운티 시장은 이제 갓 걸음마 단계인 점을 감안해주시기 바랍니다. 2021년 7월 국내 버그바운티 프로그램소개되는 버그바운티 프로그램은 프로그램 시작일과 프로그램 시행 기간을 고려하여 선정됩니다. 단, 글 작성 이후에 시작된 경우는 익월의 글에 포함될 수 있는 점 양해 바랍니다.  본 글은 첫 프로그램 소개인 관계로 21년 7월 이전에 시작된 버그바운티 프로그램도 일부 포함합니다. Samsung SDS 웹사이트제공 플랫폼: 해킹존기간: 2021년 5월 24일 - 2021년 8월 31일최대 현상금: 10,000,000원타겟 시스템 유형: 웹 프로그램 URL: https://hackingzone.net/ProgramDetail/18 (로그인 후 확인 가능)Samsung Smart Lock제공 플랫폼: 해킹존기간: 2021년 6월 8일 - 2021년 8월 31일최대 현상금: 10,000,000원타겟 시스템 유형: 시판중인 Push Pull 도어록(12종) 외 관련 ‘삼성 스마트 도어록’ Mobile App 및 디바이스 플랫폼 프로그램 URL: https://hackingzone.net/ProgramDetail/24 (로그인 후 확인 가능)글로싸인 - 글로벌 전자계약 서비스제공 플랫폼: 해킹존기간: 2021년 6월 22일 - 2021년 8월 31일최대 현상금: 100,000원타겟 시스템 유형: 웹프로그램 URL: https://hackingzone.net/ProgramDetail/25 (로그인 후 확인 가능)CodeEngn제공 플랫폼: 버그캠프기간: 2021년 6월 10일 - 최대 현상금: 500,000원타겟 시스템 유형: 웹프로그램 URL: https://bugcamp.io/programs/4d39f5f7058e3a6089a17e1beae024ab 한국CISSP협회 대표홈페이지제공 플랫폼: 버그캠프기간: 2021년 6월 7일 -최대 현상금: 100,000원타겟 시스템 유형: 웹프로그램 URL: https://bugcamp.io/programs/4ca1fd4c425ccca6ba9d90911a5dd908모꼬지심제공 플랫폼: 제로웨일기간: 2021년 4월 9일 - 2021년 12월 31일 최대 현상금: 700,000원타겟 시스템 유형: 웹프로그램 URL: https://zerowhale.io/mokojisim 
 2021-06-29 14:03 KST      1529