Blog


버그바운티 클럽이 전해드리는 이야기를 확인하세요.


[BIG SHOT] 국내 버그바운티 프로그램 소개 - 2021년 10월

  관리자         2021-09-28 11:22 KST        907




9월에 흥미를 끈 버그바운티 관련 기사는 애플 버그바운티 프로그램에 대한 보안연구원들의 불만과 비난에 관한 기사였습니다.


기사에 따르면 애플은 보안연구원과의 의사소통을 기피하며 보고된 버그를 패치하는데 늑장을 부릴 뿐만 아니라 버그에 대한 보상도 없다고 비난했습니다. 2020년 한해 동안 애플이 버그바운티를 통해 지급된 보상금 액수(370만 달러)가 마이크로소프트(1360만 달러)나 구글(670만 달러)과 비교해 현저히 낮았습니다. 결국 애플의 버그바운티는 보안연구원이 기피하는 프로그램으로 전락하고 말았고, 발견한 애플의 버그는 애플에 보고하기보다는 다른 경로로 판매되었습니다. 애플의 태도가 개선되지 않는다면 애플은 취약점 투성이인 아이폰을 고객에게 판매하고 이는 보안사고로 이어져 더 큰 비용을 지불해야 할 수도 있습니다. 그나저나 보안연구원 입장에서 의사소통이 잘 안되는 것만 해도 심각하다고 여길텐데 가장 중요한 금전적 보상도 차일피일 미루어왔다니 보안연구원이 화가 날만 합니다. 아무튼 이런 해외의 사례를 반면교사로 삼아 국내에서 버그바운티를 시행하고 있거나 앞으로 시행할 기업들은 같은 실수를 범하지 않기를 바랍니다.


2021년 10월 국내 버그바운티 프로그램


올해 7월경 민간에서 해킹존, 버그캠프 등의 국내 버그바운티 플랫폼을 출시해 서비스를 시작했고, 이에 우리는 국내 버그바운티 프로그램을 소개하기 위해 빅샷 코너를 만들었습니다. 지금 읽고 계신 이 글은 빅샷 코너의 네 번째 글임에도 불구하고 매우 매우 매우 아쉽게도 벌써부터 소개해드릴 수 있는 국내 신규 버그바운티 프로그램이 고갈되어 버렸습니다. 아직 버그바운티에 대한 국내 기업들의 낮은 인지도와 부정적 인식, 기타 여러 요인들로 인한 상황이라 여기며 이런 어려운 상황 속에서도 버그바운티 플랫폼을 서비스하며 국내 기업들의 참여를 이끌어내려고 노력하시는 분들의 노고에 감사드려야 할 것 같습니다. 속도는 좀 느리더라도 프로그램 오너, 소비자, 보안연구원 모두가 윈윈할 수 있는 건전한 버그바운티 문화가 국내에 정착되기를 기대해봅니다. 

소개되는 버그바운티 프로그램은 프로그램 시작일과 프로그램 시행 기간을 고려하여 선정됩니다. 이번 글부터는 신규 프로그램과 기존 프로그램으로 구분되어 소개해드릴 예정이며, "신규"는 프로그램 시작일을 기준으로 당월에 새롭게 시작된 프로그램을 뜻하며, "기존"은 프로그램을 시행한지 오래되었더라도 글 작성 시점 기준으로 12개월 이내에 시작되고 시행기간이 유효한 프로그램을 의미합니다. 


■ 신규 프로그램

없음


■ 기존 프로그램


CodeEngn


한국CISSP협회 대표홈페이지


Wargame.kr


Remote Browser


Webhacking.kr


모꼬지심


태그: