Blog


버그바운티 클럽이 전해드리는 이야기를 확인하세요.



[BIG SHOT] 국내 버그바운티 프로그램 소개 - 2022년 7월

국내 최초의 버그바운티 플랫폼 해킹존이 법인을 설립하고 서비스명을 "파인더갭"으로 새로 변경하였습니다. 처음에는 파인더갭(Find the gap)을 "차이를 찾아라"라는 뜻으로 보고 버그바운티와 어떤 연결점이 있을까? 어떤 의미에서 저렇게 정했을까? 라는 의문이 생기기도 했습니다. 저도 얼마 전 기사를 보고 알게 되었지만 아래와 같은 의미를 갖고 있다고 합니다.새로운 서비스명 ‘파인더갭’은 영국 지하철에 표기된 마인더갭에서 착안한 것으로 단순히 틈을 조심하는 차원에서 더 나아가 적극적으로 틈을 찾겠다는 의미를 담고 있다. (출처:보안뉴스)서비스명의 진정한 의미를 알고나니 좀 근사하게 느껴지네요. 파인더갭이 서비스명에 걸맞게 우리나라 소프트웨어 보안의 틈을 찾아 튼튼히 메꾸어 줄 수 있는 버그바운티 플랫폼으로 거듭나길 바라며 아울러 우리나라 버그바운티 업계 활성화에 큰 기여를 해주었으면 좋겠습니다. 버그바운티 플랫폼 해킹존, ‘파인더갭’으로 서비스명 변경얼마 전 정보통신산업진흥원 주관의 2022 오픈소스 컨트리뷰션 아카데미 대회에 Project Discovery 프로젝트가 선정되어 멘티 모집을 마감하였습니다. Project Discovery는 버그바운티에서 활용도가 높은 오픈소스 보안도구로 자산 식별 파트와 식별된 자산에 대한 취약점 스캔 파트로 구성되며 전 세계의 버그 헌터나 보안연구원의 기여에 의해 유지되고 발전되고 있습니다. 이번 대회를 통해 기여할 수 있는 부분은 크게 번역, 버그 수정, 기능 개발 등이라고 합니다. 오픈소스에 기여하는 취지의 대회인만큼 그 의미가 남다르다고 할 수 있는데 버그바운티클럽의 운영자로 계신 분께서 멘토로 활동하시니 더욱 기대가 됩니다. 멘티 모집은 이미 종료되었지만 관심있으신 분께서는 아래 링크를 통해 프로젝트에 대한 정보를 확인하실 수 있습니다."Procject Discovery" 프로젝트 소개록빗(LockBit)이라는 랜섬웨어를 통해 범죄를 일삼는 집단이 다크웹에서 최신 버전 공개와 함께 버그바운티를 실시한다고 발표했습니다. 포상으로는 고위층 인사의 신상정보와 취약점 익스플로잇을 준다고 하네요. 윤리의식이 탑재되어있는 해커는 알아서 제낄테고 결국 본인들과 같은 빌런들이 참여할 가능성이 높은데 빌런들끼리 무슨 신뢰가 있다고 취약점을 찾게 놔두고 포상을 한다는 건지 참으로 어이없고 기가 찰 노릇입니다. 요즘 제일 잘 나가는 랜섬웨어 록빗, 다크웹 사상 최초 버그바운티도 시작2022년 7월 국내 버그바운티 프로그램※ 소개되는 버그바운티 프로그램은 프로그램 시작일과 프로그램 시행 기간을 고려하여 선정됩니다. "신규"는 프로그램 시작일을 기준으로 당월에 새롭게 시작된 프로그램을 뜻하며, "기존"은 프로그램을 시행한지 오래되었더라도 글 작성 시점 기준으로 12개월 이내에 시작되고 시행기간이 유효한 프로그램을 의미합니다. ■ 신규 프로그램: 0건■ 기존 프로그램: 10건마인리스트제공 플랫폼: 버그캠프기간: 2022년 5월 3일 - 최대 포상금: 200,000원타겟 시스템 유형: 웹프로그램 URL: https://bugcamp.io/programs/4f41604ba0d60125bd15d0ad5f90c27cBIFROST제공 플랫폼: 패치데이기간: 2022년 2월 7일 - 2023년 2월 7일  최대 포상금: 50,000,000원타겟 시스템 유형: BiFi, BiFi X, BiFi BTC Extension 스마트 컨트랙트의 최신버전 소스코드프로그램 URL: https://patchday.io/bifrost-pilab/bifrostKlaytn Blockchain제공 플랫폼: 패치데이기간: 2022년 1월 12일 - 2023년 1월 12일  최대 포상금: 50,000,000원타겟 시스템 유형: Klaytn 노드 및 스마트 컨트랙트의 소스코드, 블록체인 노드프로그램 URL: https://patchday.io/klaytn/klaytn-blockchainCodeEngn 대표 홈페이지제공 플랫폼: 버그캠프기간: 2021년 6월 10일 - 최대 포상금: 500,000원타겟 시스템 유형: 웹프로그램 URL: https://bugcamp.io/programs/4d39f5f7058e3a6089a17e1beae024ab 한국CISSP협회 대표 홈페이지제공 플랫폼: 버그캠프기간: 2021년 6월 7일 -최대 포상금: 100,000원타겟 시스템 유형: 웹프로그램 URL: https://bugcamp.io/programs/4ca1fd4c425ccca6ba9d90911a5dd908Remote Browser제공 플랫폼: 버그캠프기간: 2021년 7월 21일 -최대 포상금: 500,000원타겟 시스템 유형: 웹프로그램 URL: https://bugcamp.io/programs/475e65db7e2b11c68ac1d7aeeea1bae2Webhacking.kr제공 플랫폼: 버그캠프기간: 2021년 8월 2일 -최대 포상금: 1,500,000원 타겟 시스템 유형: 웹프로그램 URL: https://bugcamp.io/programs/441035cefaf0279ab99189ea3433443dNaver Whale제공 플랫폼: 패치데이기간: 2021년 10월 25일 - 2022년 10월 25일최대 포상금: USD $7,500타겟 시스템 유형: 소프트웨어(네이버 웨일브라우저)프로그램 URL: https://patchday.io/naver/naver-whalePatchDay제공 플랫폼: 패치데이기간: 2021년 10월 5일 - 2022년 10월 5일 최대 포상금: 2,000,000원타겟 시스템 유형: 웹프로그램 URL: https://patchday.io/theori/patchday/Dreamhack제공 플랫폼: 패치데이기간: 2021년 10월 5일 - 2022년 10월 5일최대 포상금: 2,000,000원타겟 시스템 유형: 웹프로그램 URL: https://patchday.io/theori/dreamhack
 2022-06-30 11:30 KST      4331

[BIG SHOT] 국내 버그바운티 프로그램 소개 - 2022년 6월

5월에는 해외 소식이지만 반가운 뉴스가 하나 있네요. 美 법무부, 윤리적 해커 컴퓨터 사기·악용으로 기소 안 한다미국 법무부에서 개인 프라이버시 보호와 사이버 보안 향상의 목적을 갖고 행하는 선의의 보안 연구는 더 이상 기소 대상이 아님을 공식적으로 밝혔다고 합니다. 다만 보안 연구를 내세워 개인이나 기업에 피해를 입힌 경우에는 선의의 보안 연구에 해당되지 않는다고 하니 버그바운티를 하시는 보안연구원분들은 룰을 숙지하고 정확히 준수하여 괜히 법적 분쟁에 휘말리지 않도록 해야겠습니다. 지난 달 국내 버그바운티 업계에서는 해킹존에서 4월말 오픈되어 운영되던 한 건의 프로그램이 조기 종료되는 해프닝이 있었습니다. 그 외 흥미로웠던 뉴스는 중소기업 보안 강화를 위한 무료 컨설팅 서비스 "화이트햇 투게더"를 KISA와 CJ올리브네트웍스, 그리고 파인더갭에서 시행한다는 것이었습니다. 물론 버그바운티 홍보 목적도 있겠지만 중소기업 거래처를 통해 대기업의 보안이 뚫린 사건이 다수 있었습니다. 대기업에 비해 상대적으로 보안에 투자하기 힘든, 그래서 더욱 해킹 공격 위험에 노출되는 중소기업에 관심을 갖고 보안 강화 서비스를 추진하는 것은 분명 긍정적인 모습이네요. 파인더갭이 무엇인가 했더니 해킹존의 버그바운티플랫폼 명칭이 "파인더갭"으로 곧 변경된다고 합니다. 암튼 상대적으로 조용하게 지난 한 달이 지나온 것 같습니다. 딱히 전할 소식도 없고 하니 바로 6월에 유효한 버그바운티 프로그램을 보시죠.2022년 6월 국내 버그바운티 프로그램※ 소개되는 버그바운티 프로그램은 프로그램 시작일과 프로그램 시행 기간을 고려하여 선정됩니다. "신규"는 프로그램 시작일을 기준으로 당월에 새롭게 시작된 프로그램을 뜻하며, "기존"은 프로그램을 시행한지 오래되었더라도 글 작성 시점 기준으로 12개월 이내에 시작되고 시행기간이 유효한 프로그램을 의미합니다. ■ 신규 프로그램: 0건■ 기존 프로그램: 9건BIFROST제공 플랫폼: 패치데이기간: 2022년 2월 7일 - 2023년 2월 7일  최대 포상금: 50,000,000원타겟 시스템 유형: BiFi, BiFi X, BiFi BTC Extension 스마트 컨트랙트의 최신버전 소스코드프로그램 URL: https://patchday.io/bifrost-pilab/bifrostKlaytn Blockchain제공 플랫폼: 패치데이기간: 2022년 1월 12일 - 2023년 1월 12일  최대 포상금: 50,000,000원타겟 시스템 유형: Klaytn 노드 및 스마트 컨트랙트의 소스코드, 블록체인 노드프로그램 URL: https://patchday.io/klaytn/klaytn-blockchainCodeEngn 대표 홈페이지제공 플랫폼: 버그캠프기간: 2021년 6월 10일 - 최대 포상금: 500,000원타겟 시스템 유형: 웹프로그램 URL: https://bugcamp.io/programs/4d39f5f7058e3a6089a17e1beae024ab 한국CISSP협회 대표 홈페이지제공 플랫폼: 버그캠프기간: 2021년 6월 7일 -최대 포상금: 100,000원타겟 시스템 유형: 웹프로그램 URL: https://bugcamp.io/programs/4ca1fd4c425ccca6ba9d90911a5dd908Remote Browser제공 플랫폼: 버그캠프기간: 2021년 7월 21일 -최대 포상금: 500,000원타겟 시스템 유형: 웹프로그램 URL: https://bugcamp.io/programs/475e65db7e2b11c68ac1d7aeeea1bae2Webhacking.kr제공 플랫폼: 버그캠프기간: 2021년 8월 2일 -최대 포상금: 1,500,000원 타겟 시스템 유형: 웹프로그램 URL: https://bugcamp.io/programs/441035cefaf0279ab99189ea3433443dNaver Whale제공 플랫폼: 패치데이기간: 2021년 10월 25일 - 2022년 10월 25일최대 포상금: USD $7,500타겟 시스템 유형: 소프트웨어(네이버 웨일브라우저)프로그램 URL: https://patchday.io/naver/naver-whalePatchDay제공 플랫폼: 패치데이기간: 2021년 10월 5일 - 2022년 10월 5일 최대 포상금: 2,000,000원타겟 시스템 유형: 웹프로그램 URL: https://patchday.io/theori/patchday/Dreamhack제공 플랫폼: 패치데이기간: 2021년 10월 5일 - 2022년 10월 5일최대 포상금: 2,000,000원타겟 시스템 유형: 웹프로그램 URL: https://patchday.io/theori/dreamhack
 2022-05-31 14:09 KST      3058