Blog


버그바운티 클럽이 전해드리는 이야기를 확인하세요.


[BIG SHOT] 국내 버그바운티 프로그램 소개 - 2021년 12월

  관리자         2021-11-29 09:05 KST        1041




해킹 사건/사고는 비일비재하게 일어나고 있지만 11월에 관심을 끌었던 사고가 몇 개 있었습니다.

하나는 우리나라 월패드 업계의 보안 수준을 여실히 보여주는 사건입니다. 기사를 접하신 분들은 짐작하셨을 것입니다. 바로 국내 아파트 월패드 해킹 사건입니다. 누구에게나 가장 프라이빗하고 평안한 공간이어야 하는 집이 무방비로 뚫려버려 우리나라 국민들이 졸지에 트루먼쇼의 주인공이 되어 버렸습니다.


국내 아파트 월패드 해킹 영상


정부에서는 월패드 업계와 4년 전부터 망분리를 포함한 '지능형 홈네트워크 설비 설치 및 기술기준'의 개정을 시도해오고 있었던 모양이나 비용 증가를 이유로 월패드 업계는 이에 반발하면서 이도저도 못하고 있었던 상황이었나보네요. 홈 네트워크와 같은 사물인터넷(IoT)에는 보안이 매우 중요한 절대적 가치라는 사실을 그들도 매우 잘 알텐데 왜 꼭 사고가 터져야만 움직일까요? 진상을 더 조사해봐야겠지만 만일 해킹 사실이 진실이라면 본인들 잇속 챙기느라 지켜져야할 국민의 사생활을 내패대기 치고 해커의 손에 넘겨준 관련자들에 대해서는 엄중히 책임을 물어야 할텐데요. 정말 울화가 치밀어 오르네요. 

전국 아파트 CCTV 해킹, 다크웹서 800만원에 팔린다

'국내 월패드 해킹 아파트 명단' 떠돌아…알몸·성관계 모습 유출 우려

아파트 사생활 영상 유출 논란…정부, 월패드 망분리 의무화 재추진

골드스푼(금수저) 앱 해킹 사건도 있었습니다.

한 20대 해커가 금수저들만 가입이 가능하다는 골드스푼 앱을 해킹하고 여성 회원의 정보를 유출한 사건이 있었습니다. 기사를 보기 전까진 이런 앱이 있다는 사실도 몰랐네요. 금수저가 아니니 당연히 모를 수밖에 없겠죠?

골드스푼 가입 기준 (골드스푼 홈페이지 캡쳐)


아무튼 해킹을 통해 빼낸 정보를 이용해 업체에 25억의 가상화폐를 요구한 해커... 모쪼록 죄값을 다 치르고 모든 기술은 선행에 사용할 때 비로소 그 가치가 빛을 발한다는 걸 깨닫고 반성하길 바랍니다. 그나저나 범행을 저지른 해커는 IT 개발자이고 골드스푼 앱에 회원으로 가입이 되어있었다고 하는데요. 개발자인 이 해커는 도대체 어떻게 골드스푼에 가입이 가능했을지 의문이었습니다. 네카라쿠배로 인해 요즘 개발자 연봉이 예전보다 나아졌다고 하는데 실력있는 개발자라 연봉을 많이 받는 걸까요? 아니면 부모님이 재력가였을까요? 아니면 가입마저도 해킹을 통해 한 걸까요? 

‘상위 1% 데이팅앱’ 골드스푼 해킹한 IT 개발자 검거

'금수저만 가입' 데이팅앱 회원정보 몰래 빼낸 해커의 반전 정체

잠시 눈을 돌려 해외의 버그바운티 소식을 봅시다. 역시 안타까운 소식이 있었습니다. 마이크로소프트사가 버그바운티 포상금 액수를 줄인 것에 불만을 품은 한 버그헌터가 윈도우11, 윈도우10 등에서 발견된 제로데이 로컬 권한상승 취약점을 공개한 사실이 있었습니다. 마이크로소프트사의 이같은 결정은 많은 버그 헌터들 사이에 불만이라고 하네요. 그렇다고 제로데이 취약점 공개를 하다니... 흠.. 아무튼 구글이나 GitLab과 같은 회사가 점진적으로 버그바운티 포상금을 늘려가고 있는 사실과는 상당히 대조적입니다. 

New Windows zero-day with public exploit lets you become an admin


2021년 12월 국내 버그바운티 프로그램


※ 소개되는 버그바운티 프로그램은 프로그램 시작일과 프로그램 시행 기간을 고려하여 선정됩니다. "신규"는 프로그램 시작일을 기준으로 당월에 새롭게 시작된 프로그램을 뜻하며, "기존"은 프로그램을 시행한지 오래되었더라도 글 작성 시점 기준으로 12개월 이내에 시작되고 시행기간이 유효한 프로그램을 의미합니다. 



■ 신규 프로그램: 3건


Samsung TV App 관리를 위한 Seller Office 웹사이트


수산아이엔티


스마트 안심케어



■ 기존 프로그램: 13건


엔큐리티


(주)내스타일


TARGOS


찜 어플리케이션


주식회사 스패로우


CodeEngn


한국CISSP협회 대표홈페이지


Remote Browser


Webhacking.kr


Naver Whale


PatchDay


Dreamhack


태그: