Blog

안녕하세요. 벌써 3월을 눈 앞에 두고 있습니다. 요 며칠간 매섭게 춥더니 오늘 점심식사 시간에 밖을 나가 제법 따사로워진 햇살을 받으니 '이제 겨울도 물러가고 봄이 오는구나. 계절은 또 변하고 있구나' 하는 생각이 들더군요. 계절은 변하지만 저는 여느 때와 다름없이 개인적 관점에서 흥미로웠던 업계 소식을 정리하면서 2022년 3월을 위한 빅샷을 시작해봅니다.네이버, 구글의 버그바운티 포상금 지급액 발표먼저 국내 네이버에서는 버그바운티 어워드를 시행해 참가자 3명에게 시상을 했다고 합니다. 네이버는 2021년 한 해동안 166명이 버그바운티 프로그램에 참여하였고 총 1억 1600만원의 포상금을 지급했다고 전했습니다. 네이버, 작년 버그바운티 참가자 3명 시상‘네이버 버그바운티 어워드’..총 1.1억 포상해외에서는 버그바운티 프로그램의 대장격인 구글 또한 2021년 한 해동안 버그를 제보한 참가자들에게 870만 달러(한화로 약 100억원)를 지급했다고 구글 시큐리티 블로그에서 밝혔는데요. 제보된 버그 중 크롬과 안드로이드가 상당한 비중을 차지했으며 작년에 비해 취약점 개수도 증가했다고 합니다. 혼자 232개의 안드로이드 취약점을 제보한 Aman Pandey라는 인도의 한 보안연구원은 구글로부터 특별 감사와 함께 6500만 루피를 지급받았다고 합니다. 구글, 2021년 한 해 동안 보안 전문가들에 870만 달러 지급시상이나 특별 감사를 받은 분들은 물론 버그바운티를 통해 각자의 기준에서 의미있는 성과를 거두신 모든 분들께 축하와 박수를 보내고 싶습니다.버그바운티에 진심인 카르다노 블록체인블록체인 업계에서도 버그바운티에 적극 참여하고 있는 모양새인데요. 그 중에서도 보안성이 뛰어나다고 유명한 카르다노(ADA)는 버그바운티 금액을 두 배로 늘리며 취약점 찾기에 박차를 가하고 있습니다. 블록체인 업계의 버그바운티 금액이 상대적으로 높아 경험있고 실력있는 많은 보안연구원들이 블록체인 버그바운티에 시간을 할애할 것 같네요.Cardano responds to DeFi hacks doubling its bug bounty for security vulnerabilities국내에서도 클레이튼에 이어 BIFROST가 국내 버그바운티 플랫폼 패치데이를 통해 버그바운티 프로그램을 신규로 시행했습니다. 아래 국내 버그바운티 프로그램 섹션에서 BIFROST 버그바운티 프로그램을 확인해보실 수 있습니다. 구글과 MS, OpenSSF의 알파-오메가 프로젝트 참여버그바운티 소식은 아니지만 작년 12월에 터졌던 Log4Shell 사건은 우리가 잊고 있었던 오픈소스 보안에 다시금 화두를 던졌습니다. 이젠 오픈소스 보안에 대해 가볍게 생각말고 진지하게 받아들일 시기이고 이미 세상은 움직이고 있습니다. 구글과 마이크로소프트는 오픈소스 소프트웨어 공급망의 보안 강화를 위해 많은 활동을 하는 오픈소스 보안재단(OpenSSF)의 알파-오메가 프로젝트에 참여한다고 합니다. MS·구글, Log4j 등 오픈소스 보안개선 앞장구글, MS.. 두 형님의 파워를 믿습니다. 2022년 3월 국내 버그바운티 프로그램※ 소개되는 버그바운티 프로그램은 프로그램 시작일과 프로그램 시행 기간을 고려하여 선정됩니다. "신규"는 프로그램 시작일을 기준으로 당월에 새롭게 시작된 프로그램을 뜻하며, "기존"은 프로그램을 시행한지 오래되었더라도 글 작성 시점 기준으로 12개월 이내에 시작되고 시행기간이 유효한 프로그램을 의미합니다. ■ 신규 프로그램: 1건BIFROST제공 플랫폼: 패치데이기간: 2022년 2월 7일 - 2023년 2월 7일  최대 현상금: 50,000,000원타겟 시스템 유형: BiFi, BiFi X, BiFi BTC Extension 스마트 컨트랙트의 최신버전 소스코드프로그램 URL: https://patchday.io/bifrost-pilab/bifrost■ 기존 프로그램: 18건Samsung SDS 웹사이트제공 플랫폼: 해킹존기간: 2021년 6월 30일 - 2022년 12월 31일 최대 현상금: 10,000,000원타겟 시스템 유형: 웹 프로그램 URL: https://hackingzone.net/ProgramDetail/VTJGc2RHVmtYMThNWXg3OGRGNnltR3FGSEY4OURXeC9LRFZFK3kwVHdsbz0= (로그인 후 확인 가능)Samsung SDS 고객지원포탈제공 플랫폼: 해킹존기간: 2021년 6월 30일 - 2022년 12월 31일 최대 현상금: 10,000,000원타겟 시스템 유형: 웹 프로그램 URL: https://hackingzone.net/ProgramDetail/VTJGc2RHVmtYMStXKys5NWxKRXFLUkpHbkdiQXQzODBDcVlQMUV6Wkxzbz0= (로그인 후 확인 가능)Samsung Smart Lock제공 플랫폼: 해킹존기간: 2021년 6월 30일 - 2022년 12월 31일 최대 현상금: 10,000,000원타겟 시스템 유형: 시판중인 Push Pull 도어록(12종) 외 관련 ‘삼성 스마트 도어록’ Mobile App 및 디바이스 플랫폼 프로그램 URL: https://hackingzone.net/ProgramDetail/VTJGc2RHVmtYMStHUU44a015V2d5OGtVc0l6S24wNlEvU1c0bnNCQmR6Zz0= (로그인 후 확인 가능)엔큐리티제공 플랫폼: 버그캠프기간: 2021년 10월 12일 - 최대 현상금: 0원타겟 시스템 유형: 웹프로그램 URL: https://bugcamp.io/programs/4be6ca31e4e7777e989d13efcf858c13(주)내스타일제공 플랫폼: 버그캠프기간: 2021년 10월 13일 - 최대 현상금: 0원타겟 시스템 유형: 웹프로그램 URL: https://bugcamp.io/programs/42f84873c958644cb121e2a5af0d9457TARGOS제공 플랫폼: 버그캠프기간: 2021년 10월 19일 - 최대 현상금: 0원타겟 시스템 유형: 웹프로그램 URL: https://bugcamp.io/programs/42a3639e491c069da8be40a8d15df4f5찜 어플리케이션제공 플랫폼: 버그캠프기간: 2021년 10월 24일 - 최대 현상금: 0원타겟 시스템 유형: 모바일프로그램 URL: https://bugcamp.io/programs/48059806ce94fc0184b9d61d491de51c주식회사 스패로우제공 플랫폼: 버그캠프기간: 2021년 10월 25일 - 최대 현상금: 0원타겟 시스템 유형: 웹프로그램 URL: https://bugcamp.io/programs/49e3c23aa416ca8aa6b21fdc0b933a3eCodeEngn 대표 홈페이지제공 플랫폼: 버그캠프기간: 2021년 6월 10일 - 최대 현상금: 500,000원타겟 시스템 유형: 웹프로그램 URL: https://bugcamp.io/programs/4d39f5f7058e3a6089a17e1beae024ab 한국CISSP협회 대표 홈페이지제공 플랫폼: 버그캠프기간: 2021년 6월 7일 -최대 현상금: 100,000원타겟 시스템 유형: 웹프로그램 URL: https://bugcamp.io/programs/4ca1fd4c425ccca6ba9d90911a5dd908Remote Browser제공 플랫폼: 버그캠프기간: 2021년 7월 21일 -최대 현상금: 500,000원타겟 시스템 유형: 웹프로그램 URL: https://bugcamp.io/programs/475e65db7e2b11c68ac1d7aeeea1bae2Webhacking.kr제공 플랫폼: 버그캠프기간: 2021년 8월 2일 부터최대 현상금: 1,500,000원 타겟 시스템 유형: 웹프로그램 URL: https://bugcamp.io/programs/441035cefaf0279ab99189ea3433443dNaver Whale제공 플랫폼: 패치데이기간: 2021년 10월 25일 - 최대 현상금: USD $7,500타겟 시스템 유형: 소프트웨어(네이버 웨일브라우저)프로그램 URL: https://patchday.io/naver/naver-whalePatchDay제공 플랫폼: 패치데이기간: 2021년 10월 5일 - 최대 현상금: 2,000,000원타겟 시스템 유형: 웹프로그램 URL: https://patchday.io/theori/patchday/Dreamhack제공 플랫폼: 패치데이기간: 2021년 10월 5일 - 최대 현상금: 2,000,000원타겟 시스템 유형: 웹프로그램 URL: https://patchday.io/theori/dreamhack수산아이엔티제공 플랫폼: 버그캠프기간: 2021년 10월 27일 - 최대 현상금: 0원타겟 시스템 유형: 웹프로그램 URL: https://bugcamp.io/programs/4a35dad2cc737abcb5935dfd67c15759스마트 안심케어제공 플랫폼: 버그캠프기간: 2021년 11월 22일 - 최대 현상금: 0원타겟 시스템 유형: 웹프로그램 URL: https://bugcamp.io/programs/49b1cee7bb158f4ea9ebe4f7e74739e3Klaytn Blockchain제공 플랫폼: 패치데이기간: 2022년 1월 12일 - 2023년 1월 12일  최대 현상금: 50,000,000원타겟 시스템 유형: Klaytn 노드 및 스마트 컨트랙트의 소스코드, 블록체인 노드프로그램 URL: https://patchday.io/klaytn/klaytn-blockchain

12월 한달 간 해킹과 관련된 사건/사고의 이슈를 꼽자면 단연 Log4j 제로데이 RCE 취약점(CVE-2021-44228)일 것입니다. 보안담당자는 물론이거니와 IT와 관련된 업무나 공부를 하고 계신 분들은 아마 낯설지 않을 것 입니다. 이 취약점은 Log4Shell이라는 이름으로 불리기도 하며 CVSS 10점의 심각도 최고 수준으로 평가 받았습니다. 공격의 대상이 되는 log4j는 전세계 대다수의 대기업과 정부기관에서 사용하고 있어 공격의 파급력 또한 상당하다고 볼 수 있습니다. Log4j 취약점은 아파치 서버의 Log4j에 존재하는 JNDI 인젝션 취약점으로 이 취약점을 악용하면 공격자는 서버에서 악의적인 원격 코드를 실행할 수 있으며 공격 과정 또한 상대적으로 쉬우므로 현재도 활발히 공격이 진행되고 있습니다. 이미 국내외의 많은 기관과 매체에서 위험성을 알리며 대책을 강구하고 있으며 계속해서 긴급 패치를 내놓고 있으나 공격자들은 패치를 우회하며 공격 방식을 진화시키고 있는 실정인 듯 하네요. 기업이나 공공기관들은 내부적으로 Log4j가 사용되는 시스템을 일일이 찾아내는 것도 쉽지 않은 일이며 계속해서 진화하는 공격 방식에 일일이 대응하기에는 역부족이라고 말하며 이번 사태가 매우 심각한 상황임을 증명했습니다. 안타깝게도 현재로써는 Log4j 취약점은 근시일내에 진화될 것 같아 보이지 않습니다.하지만 Log4j 취약점이 공개된 이후 전세계의 버그바운티 헌터들도 트위터나 블로그를 통해 테스트 가이드를 공유해가며 발빠르게 움직이고 있습니다. 아래는 인터넷에서 공유되고 있는 자료이니 참고해보세요.Log4shell Zero-Day Exploit— Full GuideLog4Shell Remediation Cheat SheetLog4Shell Mindmap 실제로 PortSwigger의 Daily Swig에 올라온 글에 따르면 HackerOne, Bugcrowd 등의 버그바운티 플랫폼을 통해 수천건의 Log4j 취약점 보고서가 제출되고 평가되었다고 합니다."버그가 공개된 지 2주가 채 되지 않아 500명 이상의 해커가 HackerOne에서만 400개 이상의 프로그램에서 1,700개에 가까운 보고서를 제출했다고 Daily Swig에 말했습니다. 플랫폼에 따르면 "초기 피크" 제출일에 해커의 거의 30%가 밤쉘(BombShell) 버그라는 별명이 붙은 'Log4Shell'과 관련된 취약점 보고서를 제출했습니다. HackerOne의 관련 지불금은 지금까지 총 $249,500입니다. 미국에 본사를 둔 동종 플랫폼 Bugcrowd는 위기가 발생한 이후 수천 건의 Log4j 관련 제출을 검증하고 분류 했다고 말했습니다. 파리에 기반을 둔 버그 현상금 플랫폼 YesWeHack은 12월 9일 Log4Shell이 ​​공개된 후 첫 주 동안 140건의 보고서를 받았다고 말합니다. 공개 후 주말 동안 또 다른 유럽의 버그바운티 플랫폼 Intigriti는 130개 이상의 보고서를 평가했다고 말했습니다."  (구글 번역 이용)(원문 링크: Bug bounty platforms handling thousands of Log4j vulnerability reports) HackerOne의 Log4Shell 제출 추이와 관련된 트윗 (12/21 일자 트윗) 또한 버그바운티 헌터가 주로 사용하는 ZAP이나 BurpSuite 프록시에도 관련 룰이나 도구를 빠르게 추가하면서 버그바운티 헌터들이 Log4Shell 취약점을 보다 수월하게 찾을 수 있도록 했습니다. 이번 사태를 통해 떠오르는 생각은 조직의 내부 인력과 자원의 한계가 명백한 상황에서는 버그바운티가 사태 해결의 부담을 일부 덜어줄 수도 있을 수 있겠다는 것입니다. 물론 조직이 포상금을 줄 수 있는 자금력이 충분하느냐는 문제가 있긴 하지만 이번과 같은 전 세계적 긴급 상황에서는 버그바운티 헌터들도 금전적 이익은 뒤로 한채 사회 공헌 차원에서 자기의 시간을 선뜻 내어주고 감사 인사에 보람을 느끼는 버그바운티 헌터들도 많이 있을테니까요. 여하튼 버그바운티를 통해 전 세계에 걸쳐있는 수천, 수만의 선의의 해커 집단을 활용하면 Log4Shell 사태를 좀 더 빠르고 효과적으로 대응할 수 있지 않을까 생각해봅니다. Log4Shell과 오미크론의 위협속에서도 여러분의 성탄절과 연말은 반드시 즐겁고 행복하시길 바랍니다. 2022년 1월 국내 버그바운티 프로그램※ 소개되는 버그바운티 프로그램은 프로그램 시작일과 프로그램 시행 기간을 고려하여 선정됩니다. "신규"는 프로그램 시작일을 기준으로 당월에 새롭게 시작된 프로그램을 뜻하며, "기존"은 프로그램을 시행한지 오래되었더라도 글 작성 시점 기준으로 12개월 이내에 시작되고 시행기간이 유효한 프로그램을 의미합니다. ■ 신규 프로그램: 0건※ 정식 신규 프로그램은 없으며 해킹존에서 크리스마스를 맞아 이벤트 프로그램을 진행합니다.     Hackingzone X-MAS {CAPTURE THE BUG} (이벤트 상세내용은 해킹존 홈페이지에서 확인)■ 기존 프로그램: 14건엔큐리티제공 플랫폼: 버그캠프기간: 2021년 10월 12일 - 최대 현상금: 0원타겟 시스템 유형: 웹프로그램 URL: https://bugcamp.io/programs/4be6ca31e4e7777e989d13efcf858c13(주)내스타일제공 플랫폼: 버그캠프기간: 2021년 10월 13일 - 최대 현상금: 0원타겟 시스템 유형: 웹프로그램 URL: https://bugcamp.io/programs/42f84873c958644cb121e2a5af0d9457TARGOS제공 플랫폼: 버그캠프기간: 2021년 10월 19일 - 최대 현상금: 0원타겟 시스템 유형: 웹프로그램 URL: https://bugcamp.io/programs/42a3639e491c069da8be40a8d15df4f5찜 어플리케이션제공 플랫폼: 버그캠프기간: 2021년 10월 24일 - 최대 현상금: 0원타겟 시스템 유형: 모바일프로그램 URL: https://bugcamp.io/programs/48059806ce94fc0184b9d61d491de51c주식회사 스패로우제공 플랫폼: 버그캠프기간: 2021년 10월 25일 - 최대 현상금: 0원타겟 시스템 유형: 웹프로그램 URL: https://bugcamp.io/programs/49e3c23aa416ca8aa6b21fdc0b933a3eCodeEngn제공 플랫폼: 버그캠프기간: 2021년 6월 10일 - 최대 현상금: 500,000원타겟 시스템 유형: 웹프로그램 URL: https://bugcamp.io/programs/4d39f5f7058e3a6089a17e1beae024ab 한국CISSP협회 대표홈페이지제공 플랫폼: 버그캠프기간: 2021년 6월 7일 -최대 현상금: 100,000원타겟 시스템 유형: 웹프로그램 URL: https://bugcamp.io/programs/4ca1fd4c425ccca6ba9d90911a5dd908Remote Browser제공 플랫폼: 버그캠프기간: 2021년 7월 21일 -최대 현상금: 500,000원타겟 시스템 유형: 웹프로그램 URL: https://bugcamp.io/programs/475e65db7e2b11c68ac1d7aeeea1bae2Webhacking.kr제공 플랫폼: 버그캠프기간: 2021년 8월 2일 부터최대 현상금: 1,500,000원 타겟 시스템 유형: 웹프로그램 URL: https://bugcamp.io/programs/441035cefaf0279ab99189ea3433443dNaver Whale제공 플랫폼: 패치데이기간: 2021년 10월 25일 - 최대 현상금: USD $7,500타겟 시스템 유형: 소프트웨어(네이버 웨일브라우저)프로그램 URL: https://patchday.io/naver/naver-whalePatchDay제공 플랫폼: 패치데이기간: 2021년 10월 5일 - 최대 현상금: 2,000,000원타겟 시스템 유형: 웹프로그램 URL: https://patchday.io/theori/patchday/Dreamhack제공 플랫폼: 패치데이기간: 2021년 10월 5일 - 최대 현상금: 2,000,000원타겟 시스템 유형: 웹프로그램 URL: https://patchday.io/theori/dreamhack수산아이엔티제공 플랫폼: 버그캠프기간: 2021년 10월 27일 - 최대 현상금: 0원타겟 시스템 유형: 웹프로그램 URL: https://bugcamp.io/programs/4a35dad2cc737abcb5935dfd67c15759스마트 안심케어제공 플랫폼: 버그캠프기간: 2021년 11월 22일 - 최대 현상금: 0원타겟 시스템 유형: 웹프로그램 URL: https://bugcamp.io/programs/49b1cee7bb158f4ea9ebe4f7e74739e3