버그바운티 클럽이 전해드리는 이야기를 확인하세요.
4월에는 해킹존에서 "타임디펜던스"와 "제주패스"의 버그바운티 프로그램 두 건을 신규로 시작했습니다. 또한 해킹존은 서비스 개편을 통해 제보된 보안 취약점의 보안 패치가 적절하게 이루어졌는지 확인하는 이행점검 프로세스를 추가하였습니다. 이 외에도 반응형 웹을 적용해 모바일 환경에서의 사용성을 향상시켰고, 보상금 출금이 가능한 월렛 기능이나 보안연구원이 자신만의 팀을 구성하고 팀단위 실적을 확인할 수 있는 팀플레이라는 새로운 기능들을 선보였습니다. 이행점검 프로세스는 무척이나 인상깊은 부분입니다. 보안 연구원은 제보한 취약점에 대한 포상금을 지급받았다고해서 기업과의 커넥션을 끝내지 않고 끝까지 기업과 소통하며 취약점 패치에 노력해야 합니다. 혹시 이행점검을 성실히 수행한 보안연구원에게는 해당 기업에서 좋은 평판을 주고 평판이 우수한 보안 연구원에게 향후 비공개 프로그램에 초대를 한다거나 하는 시스템이 있는지 모르겠으나 없다면 생겼으면 좋겠군요. 또 팀플레이 기능은 버그바운티에 아직 확신을 갖지 못하거나 보다 안전하고 효과적인 방법, 즉 프라이빗(비공개) 프로그램으로 버그바운티 프로그램 운영을 시작해보고자 하는 국내 기업들의 인식과 상황이 반영된 듯 합니다. 국내 실정에 적응해가며 기업 유치를 위해 플랫폼이 변해가는 모습은 긍정적으로 봐야 할 것 같습니다. 사실 일단 프라이빗으로 시작한 후 자산의 보안성이 일정 기대 수준에 미치게 되면 퍼블릭으로 전환하는 건 해외에서도 자주 발생하는 일입니다. 다만 현재 이 기능은 개인별 활동을 팀단위로 단순 실적 집계를 한 것으로 보이는데 팀플레이라는 이름에 걸맞게 보안 연구원의 팀 단위 활동을 지원하는 다양한 기능들(예를 들면 해커원의 취약점별 공헌도에 따른 포상금 분배 등)도 갖추어지면 좋을 듯 하고 팀 활동을 하지 않는 개인에게도 프라이빗 프로그램 참여 기회가 공정하고 공평하게 주어지길 기대해봅니다.
버그캠프에서 22년 3월부터 시작되었던 최신 프로그램 한 건을 포함해 운영 중이였던 몇 개의 프로그램이 중단되었습니다. 프로그램 시행 기간에 종료일자가 별도 게시되지 않았던 프로그램들이라 갑작스럽게 중단된 배경이나 이유가 조금은 궁금하네요. 다만 프로그램을 중단한 기업들이 버그바운티의 효과성에 대해 긍정적인 인식을 갖게 된 계기였길 바랍니다.
2022년 5월 국내 버그바운티 프로그램
※ 소개되는 버그바운티 프로그램은 프로그램 시작일과 프로그램 시행 기간을 고려하여 선정됩니다. "신규"는 프로그램 시작일을 기준으로 당월에 새롭게 시작된 프로그램을 뜻하며, "기존"은 프로그램을 시행한지 오래되었더라도 글 작성 시점 기준으로 12개월 이내에 시작되고 시행기간이 유효한 프로그램을 의미합니다.
■ 신규 프로그램: 1건
제주패스 (중지됨)
타임디펜던스
■ 기존 프로그램: 12건
BIFROST
Klaytn Blockchain
Samsung SDS 웹사이트
Samsung SDS 고객지원포탈
Samsung Smart Lock
CodeEngn 대표 홈페이지
한국CISSP협회 대표 홈페이지
Remote Browser
Webhacking.kr
Naver Whale
PatchDay
Dreamhack