Blog

2022년 4월을 위한 빅샷입니다. 몇 개의 소식을 전하면서 시작해 봅니다.

과기정통부, 보안 취약점 정보포탈 서비스 개시

[이미지: 사이버 보안 취약점 정보포탈 스크린샷]

과기정통부에서 한국인터넷진흥원과 함께 "보안 취약점 정보포탈"을 개설하여 3월 24일부터 서비스를 개시하였습니다. 취약점 정보포탈은 국내·외 보안 취약점을 체계적으로 수집·관리하고 수집된 정보를 다양한 이용자가 편리하게 확인·개선하기 위한 목적으로 탄생했습니다. 지금까지는 취약점 정보가 각 소프트웨어 제조사의 홈페이지에 개별적으로 게시되어 이용자들이 취약점을 신속하게 확인하고 조치하는데 한계가 있었던 반면 이제는 여기저기 찾아다닐 것 없이 취약점 정보포탈을 통해 보안 공지나 취약점 정보를 한 번에 모아 볼 수 있도록 하여 이용자들의 편리성과 접근성을 향상시킨 점은 매우 긍정적으로 보입니다. 또한 "핵더챌린지" 플랫폼을 취약점 정보포탈내에서 운영함으로써 화이트해커를 통한 취약점 발굴부터 조치하기까지의 과정을 체계적으로 관리하여 사이버 위협에 대한 역량을 강화할 수 있을 것으로 보입니다.

[이미지: 과학기술정보통신부]

악명을 떨치고 있는 해킹 그룹, 랩서스(LAPSUS$)

[이미지: 네이키드 시큐리티]

지난 한 달동안 업계를 가장 떠들썩하게 한 이슈는 주요 IT기업들을 해킹하고 기밀 데이타를 공개한 랩서스(LAPSUS$) 해킹 그룹일 것입니다. 국내 기업인 삼성전자와 LG전자는 물론 마이크로소프트, 엔비디아를 비롯한 여러 글로벌 IT기업들이 이들의 해킹 수법에 속수무책으로 당했습니다. 이들은 SNS를 통해 적극적으로 활동하고 있지만 이들의 정보는 여전히 극히 제한적이며 유명세에 고무되어 향후 더 활발히 활동할 가능성이 높을 것으로 보고 있습니다. 이들은 해킹을 위해 사회공학기법에 유독 집중하는 모습을 보였는데요. 타겟이 되는 기업 직원이나 파트너사 직원들을 통해 자격증명을 구매하거나 헬프데스크에 직접 전화를 하여 추가 정보를 알아내기도 했습니다. 심지어 해킹을 당한 기업의 사고 대응을 위한 줌(Zoom) 미팅에 참여하여 동태를 살피고 조롱하는 등 매우 과감하고 뻔뻔한 방법을 이용했다고 합니다. 아무튼 랩서스가 어떤 해킹 그룹이고 무슨 활동을 해왔는지가 궁금하시다면 S2W의 블로그에서 Footsteps of the LAPSUS$ 글을 참고해보시기 바랍니다. 며칠 전 영국 경찰은 랩서스와 관련된 7명을 체포하여 조사하고 귀가 조치했다고 밝히고, 옥스포드에 거주하는 16세 소년이 랩서스의 주요 인물이라고 보고 있다고 밝혔지만 이에 랩서스는 텔레그램을 통해 랩서스 멤버 중 그 누구도 체포되지 않았다고 반박했다고 하네요. 

해커원, 카스퍼스키 버그바운티 프로그램 중단

[이미지: 해커원]

해커원에서 시행 중이던 카스퍼스키(Kaspersky)의 버그바운티 프로그램이 무기한 중단되었습니다. 카스퍼스키는 러시아의 안티바이러스 프로그램 업체입니다. 해커원의 이러한 조치는 러시아의 우크라이나 침공으로 인한 미국의 금융제재에 따른 것으로 보여집니다. 카스퍼스키는 해커원이 어떠한 사전 통보도 없이 일방적으로 중단했다고 밝히며 해커원으로부터 중단된 이유를 명확히 듣지 못했다고 주장했습니다. 또한 해커원의 일방적인 행태를 용납할 수 없다고 비판했으나 개인적으로는 푸틴의 전쟁이 계속되는한 프로그램이 다시 열리진 않을 것 같네요. 

2022년 4월 국내 버그바운티 프로그램

※ 소개되는 버그바운티 프로그램은 프로그램 시작일과 프로그램 시행 기간을 고려하여 선정됩니다. "신규"는 프로그램 시작일을 기준으로 당월에 새롭게 시작된 프로그램을 뜻하며, "기존"은 프로그램을 시행한지 오래되었더라도 글 작성 시점 기준으로 12개월 이내에 시작되고 시행기간이 유효한 프로그램을 의미합니다. 



■ 신규 프로그램: 1건

노르마 회사 홈페이지

• 제공 플랫폼: 버그캠프
  
• 기간: 2022년 3월 17일 -   
• 최대 현상금: 1,000,000원
• 타겟 시스템 유형: 웹
• 프로그램 URL: https://bugcamp.io/programs/4ee8a46bd9b7dd2882b2b41f6d6bc0db

■ 기존 프로그램: 19건

BIFROST

• 제공 플랫폼: 패치데이
  
• 기간: 2022년 2월 7일 - 2023년 2월 7일  
• 최대 현상금: 50,000,000원
• 타겟 시스템 유형: BiFi, BiFi X, BiFi BTC Extension 스마트 컨트랙트의 최신버전 소스코드
• 프로그램 URL: https://patchday.io/bifrost-pilab/bifrost

Klaytn Blockchain

• 제공 플랫폼: 패치데이
  
• 기간: 2022년 1월 12일 - 2023년 1월 12일  
• 최대 현상금: 50,000,000원
• 타겟 시스템 유형: Klaytn 노드 및 스마트 컨트랙트의 소스코드, 블록체인 노드
• 프로그램 URL: https://patchday.io/klaytn/klaytn-blockchain

Samsung SDS 웹사이트

• 제공 플랫폼: 해킹존
• 기간: 2021년 6월 30일 - 2022년 12월 31일 
• 최대 현상금: 10,000,000원
• 타겟 시스템 유형: 웹 
• 프로그램 URL: https://hackingzone.net/ProgramDetail/VTJGc2RHVmtYMThNWXg3OGRGNnltR3FGSEY4OURXeC9LRFZFK3kwVHdsbz0= (로그인 후 확인 가능)

Samsung SDS 고객지원포탈

• 제공 플랫폼: 해킹존
• 기간: 2021년 6월 30일 - 2022년 12월 31일 
• 최대 현상금: 10,000,000원
• 타겟 시스템 유형: 웹 
• 프로그램 URL: https://hackingzone.net/ProgramDetail/VTJGc2RHVmtYMStXKys5NWxKRXFLUkpHbkdiQXQzODBDcVlQMUV6Wkxzbz0= (로그인 후 확인 가능)

Samsung Smart Lock

• 제공 플랫폼: 해킹존
• 기간: 2021년 6월 30일 - 2022년 12월 31일 
• 최대 현상금: 10,000,000원
• 타겟 시스템 유형: 시판중인 Push Pull 도어록(12종) 외 관련 ‘삼성 스마트 도어록’ Mobile App 및 디바이스 플랫폼 
• 프로그램 URL: https://hackingzone.net/ProgramDetail/VTJGc2RHVmtYMStHUU44a015V2d5OGtVc0l6S24wNlEvU1c0bnNCQmR6Zz0= (로그인 후 확인 가능)

엔큐리티

• 제공 플랫폼: 버그캠프
  
• 기간: 2021년 10월 12일 - 
• 최대 현상금: 0원
• 타겟 시스템 유형: 웹
• 프로그램 URL: https://bugcamp.io/programs/4be6ca31e4e7777e989d13efcf858c13

(주)내스타일

• 제공 플랫폼: 버그캠프
  
• 기간: 2021년 10월 13일 - 
• 최대 현상금: 0원
• 타겟 시스템 유형: 웹
• 프로그램 URL: https://bugcamp.io/programs/42f84873c958644cb121e2a5af0d9457

TARGOS

• 제공 플랫폼: 버그캠프
  
• 기간: 2021년 10월 19일 - 
• 최대 현상금: 0원
• 타겟 시스템 유형: 웹
• 프로그램 URL: https://bugcamp.io/programs/42a3639e491c069da8be40a8d15df4f5

찜 어플리케이션

• 제공 플랫폼: 버그캠프
  
• 기간: 2021년 10월 24일 - 
• 최대 현상금: 0원
• 타겟 시스템 유형: 모바일
• 프로그램 URL: https://bugcamp.io/programs/48059806ce94fc0184b9d61d491de51c

주식회사 스패로우

• 제공 플랫폼: 버그캠프
  
• 기간: 2021년 10월 25일 - 
• 최대 현상금: 0원
• 타겟 시스템 유형: 웹
• 프로그램 URL: https://bugcamp.io/programs/49e3c23aa416ca8aa6b21fdc0b933a3e

CodeEngn 대표 홈페이지

• 제공 플랫폼: 버그캠프
  
• 기간: 2021년 6월 10일 - 
• 최대 현상금: 500,000원
• 타겟 시스템 유형: 웹
• 프로그램 URL: https://bugcamp.io/programs/4d39f5f7058e3a6089a17e1beae024ab 

한국CISSP협회 대표 홈페이지

• 제공 플랫폼: 버그캠프
• 기간: 2021년 6월 7일 -
• 최대 현상금: 100,000원
• 타겟 시스템 유형: 웹
• 프로그램 URL: https://bugcamp.io/programs/4ca1fd4c425ccca6ba9d90911a5dd908

Remote Browser

• 제공 플랫폼: 버그캠프
• 기간: 2021년 7월 21일 -
• 최대 현상금: 500,000원
• 타겟 시스템 유형: 웹
• 프로그램 URL: https://bugcamp.io/programs/475e65db7e2b11c68ac1d7aeeea1bae2

Webhacking.kr

• 제공 플랫폼: 버그캠프
• 기간: 2021년 8월 2일 부터
• 최대 현상금: 1,500,000원 
• 타겟 시스템 유형: 웹
• 프로그램 URL: https://bugcamp.io/programs/441035cefaf0279ab99189ea3433443d

Naver Whale

• 제공 플랫폼: 패치데이
  
• 기간: 2021년 10월 25일 - 
• 최대 현상금: USD $7,500
• 타겟 시스템 유형: 소프트웨어(네이버 웨일브라우저)
• 프로그램 URL: https://patchday.io/naver/naver-whale

PatchDay

• 제공 플랫폼: 패치데이
  
• 기간: 2021년 10월 5일 - 
• 최대 현상금: 2,000,000원
• 타겟 시스템 유형: 웹
• 프로그램 URL: https://patchday.io/theori/patchday/

Dreamhack

• 제공 플랫폼: 패치데이
  
• 기간: 2021년 10월 5일 - 
• 최대 현상금: 2,000,000원
• 타겟 시스템 유형: 웹
• 프로그램 URL: https://patchday.io/theori/dreamhack

수산아이엔티

• 제공 플랫폼: 버그캠프
  
• 기간: 2021년 10월 27일 - 
• 최대 현상금: 0원
• 타겟 시스템 유형: 웹
• 프로그램 URL: https://bugcamp.io/programs/4a35dad2cc737abcb5935dfd67c15759

스마트 안심케어

• 제공 플랫폼: 버그캠프
  
• 기간: 2021년 11월 22일 - 
• 최대 현상금: 0원
• 타겟 시스템 유형: 웹
• 프로그램 URL: https://bugcamp.io/programs/49b1cee7bb158f4ea9ebe4f7e74739e3