4월에는 해킹존에서 "타임디펜던스"와 "제주패스"의 버그바운티 프로그램 두 건을 신규로 시작했습니다. 또한 해킹존은 서비스 개편을 통해 제보된 보안 취약점의 보안 패치가 적절하게 이루어졌는지 확인하는 이행점검 프로세스를 추가하였습니다. 이 외에도 반응형 웹을 적용해 모바일 환경에서의 사용성을 향상시켰고, 보상금 출금이 가능한 월렛 기능이나 보안연구원이 자신만의 팀을 구성하고 팀단위 실적을 확인할 수 있는 팀플레이라는 새로운 기능들을 선보였습니다. 이행점검 프로세스는 무척이나 인상깊은 부분입니다. 보안 연구원은 제보한 취약점에 대한 포상금을 지급받았다고해서 기업과의 커넥션을 끝내지 않고 끝까지 기업과 소통하며 취약점 패치에 노력해야 합니다. 혹시 이행점검을 성실히 수행한 보안연구원에게는 해당 기업에서 좋은 평판을 주고 평판이 우수한 보안 연구원에게 향후 비공개 프로그램에 초대를 한다거나 하는 시스템이 있는지 모르겠으나 없다면 생겼으면 좋겠군요. 또 팀플레이 기능은 버그바운티에 아직 확신을 갖지 못하거나 보다 안전하고 효과적인 방법, 즉 프라이빗(비공개) 프로그램으로 버그바운티 프로그램 운영을 시작해보고자 하는 국내 기업들의 인식과 상황이 반영된 듯 합니다. 국내 실정에 적응해가며 기업 유치를 위해 플랫폼이 변해가는 모습은 긍정적으로 봐야 할 것 같습니다. 사실 일단 프라이빗으로 시작한 후 자산의 보안성이 일정 기대 수준에 미치게 되면 퍼블릭으로 전환하는 건 해외에서도 자주 발생하는 일입니다. 다만 현재 이 기능은 개인별 활동을 팀단위로 단순 실적 집계를 한 것으로 보이는데 팀플레이라는 이름에 걸맞게 보안 연구원의 팀 단위 활동을 지원하는 다양한 기능들(예를 들면 해커원의 취약점별 공헌도에 따른 포상금 분배 등)도 갖추어지면 좋을 듯 하고 팀 활동을 하지 않는 개인에게도 프라이빗 프로그램 참여 기회가 공정하고 공평하게 주어지길 기대해봅니다.
버그캠프에서 22년 3월부터 시작되었던 최신 프로그램 한 건을 포함해 운영 중이였던 몇 개의 프로그램이 중단되었습니다. 프로그램 시행 기간에 종료일자가 별도 게시되지 않았던 프로그램들이라 갑작스럽게 중단된 배경이나 이유가 조금은 궁금하네요. 다만 프로그램을 중단한 기업들이 버그바운티의 효과성에 대해 긍정적인 인식을 갖게 된 계기였길 바랍니다.
2022년 5월 국내 버그바운티 프로그램
※ 소개되는 버그바운티 프로그램은 프로그램 시작일과 프로그램 시행 기간을 고려하여 선정됩니다. "신규"는 프로그램 시작일을 기준으로 당월에 새롭게 시작된 프로그램을 뜻하며, "기존"은 프로그램을 시행한지 오래되었더라도 글 작성 시점 기준으로 12개월 이내에 시작되고 시행기간이 유효한 프로그램을 의미합니다.
■ 신규 프로그램: 1건
제주패스 (중지됨)
- 제공 플랫폼: 해킹존
- 기간: 2022년 4월 25일 - 2022년 5월 13일 (제주패스측 요청으로 4/29부 중지)
- 최대 포상금: 1,000,000원
- 타겟 시스템 유형: 웹
- 프로그램URL: https://hackingzone.net/program/VTJGc2RHVmtYMTg3WHlZbHlqMkJkbERkV2lkMSs3V2Zia3FraE1IVVluVmdGQlg1K3NabXFsakRiWGM4S0czMA==/detail (로그인 후 확인 가능)
타임디펜던스
- 제공 플랫폼: 해킹존
- 기간: 2022년 4월 20일 - 2022년 5월 14일
- 최대 포상금: PoC 프로그램으로 포인트(최대 100P) 지급
- 타겟 시스템 유형: 게임
- 프로그램URL: https://hackingzone.net/program/VTJGc2RHVmtYMThUZkxlajFua0F3dTUrb0RuTFlWamFDQUswWmlsTWxvRm9qZkh6c01MN3RZUDhYdXU3dCtCaQ==/detail (로그인 후 확인 가능)
■ 기존 프로그램: 12건
BIFROST
- 제공 플랫폼: 패치데이
- 기간: 2022년 2월 7일 - 2023년 2월 7일
- 최대 포상금: 50,000,000원
- 타겟 시스템 유형: BiFi, BiFi X, BiFi BTC Extension 스마트 컨트랙트의 최신버전 소스코드
- 프로그램 URL: https://patchday.io/bifrost-pilab/bifrost
Klaytn Blockchain
- 제공 플랫폼: 패치데이
- 기간: 2022년 1월 12일 - 2023년 1월 12일
- 최대 포상금: 50,000,000원
- 타겟 시스템 유형: Klaytn 노드 및 스마트 컨트랙트의 소스코드, 블록체인 노드
- 프로그램 URL: https://patchday.io/klaytn/klaytn-blockchain
Samsung SDS 웹사이트
- 제공 플랫폼: 해킹존
- 기간: 2021년 6월 30일 - 2022년 5월 31일
- 최대 포상금: 10,000,000원
- 타겟 시스템 유형: 웹
- 프로그램 URL: https://hackingzone.net/ProgramDetail/VTJGc2RHVmtYMThNWXg3OGRGNnltR3FGSEY4OURXeC9LRFZFK3kwVHdsbz0= (로그인 후 확인 가능)
Samsung SDS 고객지원포탈
- 제공 플랫폼: 해킹존
- 기간: 2021년 6월 30일 - 2022년 5월 31일
- 최대 포상금: 10,000,000원
- 타겟 시스템 유형: 웹
- 프로그램 URL: https://hackingzone.net/ProgramDetail/VTJGc2RHVmtYMStXKys5NWxKRXFLUkpHbkdiQXQzODBDcVlQMUV6Wkxzbz0= (로그인 후 확인 가능)
Samsung Smart Lock
- 제공 플랫폼: 해킹존
- 기간: 2021년 6월 30일 - 2022년 5월 31일
- 최대 포상금: 10,000,000원
- 타겟 시스템 유형: 시판중인 Push Pull 도어록(12종) 외 관련 ‘삼성 스마트 도어록’ Mobile App 및 디바이스 플랫폼
- 프로그램 URL: https://hackingzone.net/ProgramDetail/VTJGc2RHVmtYMStHUU44a015V2d5OGtVc0l6S24wNlEvU1c0bnNCQmR6Zz0= (로그인 후 확인 가능)
CodeEngn 대표 홈페이지
- 제공 플랫폼: 버그캠프
- 기간: 2021년 6월 10일 -
- 최대 포상금: 500,000원
- 타겟 시스템 유형: 웹
- 프로그램 URL: https://bugcamp.io/programs/4d39f5f7058e3a6089a17e1beae024ab
한국CISSP협회 대표 홈페이지
- 제공 플랫폼: 버그캠프
- 기간: 2021년 6월 7일 -
- 최대 포상금: 100,000원
- 타겟 시스템 유형: 웹
- 프로그램 URL: https://bugcamp.io/programs/4ca1fd4c425ccca6ba9d90911a5dd908
Remote Browser
- 제공 플랫폼: 버그캠프
- 기간: 2021년 7월 21일 -
- 최대 포상금: 500,000원
- 타겟 시스템 유형: 웹
- 프로그램 URL: https://bugcamp.io/programs/475e65db7e2b11c68ac1d7aeeea1bae2
Webhacking.kr
- 제공 플랫폼: 버그캠프
- 기간: 2021년 8월 2일 부터
- 최대 포상금: 1,500,000원
- 타겟 시스템 유형: 웹
- 프로그램 URL: https://bugcamp.io/programs/441035cefaf0279ab99189ea3433443d
Naver Whale
- 제공 플랫폼: 패치데이
- 기간: 2021년 10월 25일 -
- 최대 포상금: USD $7,500
- 타겟 시스템 유형: 소프트웨어(네이버 웨일브라우저)
- 프로그램 URL: https://patchday.io/naver/naver-whale
PatchDay
- 제공 플랫폼: 패치데이
- 기간: 2021년 10월 5일 -
- 최대 포상금: 2,000,000원
- 타겟 시스템 유형: 웹
- 프로그램 URL: https://patchday.io/theori/patchday/
Dreamhack
- 제공 플랫폼: 패치데이
- 기간: 2021년 10월 5일 -
- 최대 포상금: 2,000,000원
- 타겟 시스템 유형: 웹
- 프로그램 URL: https://patchday.io/theori/dreamhack
태그: