국내 최초의 버그바운티 플랫폼 해킹존이 법인을 설립하고 서비스명을 "파인더갭"으로 새로 변경하였습니다. 처음에는 파인더갭(Find the gap)을 "차이를 찾아라"라는 뜻으로 보고 버그바운티와 어떤 연결점이 있을까? 어떤 의미에서 저렇게 정했을까? 라는 의문이 생기기도 했습니다. 저도 얼마 전 기사를 보고 알게 되었지만 아래와 같은 의미를 갖고 있다고 합니다.

새로운 서비스명 ‘파인더갭’은 영국 지하철에 표기된 마인더갭에서 착안한 것으로 단순히 틈을 조심하는 차원에서 더 나아가 적극적으로 틈을 찾겠다는 의미를 담고 있다. (출처:보안뉴스)

서비스명의 진정한 의미를 알고나니 좀 근사하게 느껴지네요. 파인더갭이 서비스명에 걸맞게 우리나라 소프트웨어 보안의 틈을 찾아 튼튼히 메꾸어 줄 수 있는 버그바운티 플랫폼으로 거듭나길 바라며 아울러 우리나라 버그바운티 업계 활성화에 큰 기여를 해주었으면 좋겠습니다. 

얼마 전 정보통신산업진흥원 주관의 2022 오픈소스 컨트리뷰션 아카데미 대회에 Project Discovery 프로젝트가 선정되어 멘티 모집을 마감하였습니다. Project Discovery는 버그바운티에서 활용도가 높은 오픈소스 보안도구로 자산 식별 파트와 식별된 자산에 대한 취약점 스캔 파트로 구성되며 전 세계의 버그 헌터나 보안연구원의 기여에 의해 유지되고 발전되고 있습니다. 이번 대회를 통해 기여할 수 있는 부분은 크게 번역, 버그 수정, 기능 개발 등이라고 합니다. 오픈소스에 기여하는 취지의 대회인만큼 그 의미가 남다르다고 할 수 있는데 버그바운티클럽의 운영자로 계신 분께서 멘토로 활동하시니 더욱 기대가 됩니다. 멘티 모집은 이미 종료되었지만 관심있으신 분께서는 아래 링크를 통해 프로젝트에 대한 정보를 확인하실 수 있습니다.

록빗(LockBit)이라는 랜섬웨어를 통해 범죄를 일삼는 집단이 다크웹에서 최신 버전 공개와 함께 버그바운티를 실시한다고 발표했습니다. 포상으로는 고위층 인사의 신상정보와 취약점 익스플로잇을 준다고 하네요. 윤리의식이 탑재되어있는 해커는 알아서 제낄테고 결국 본인들과 같은 빌런들이 참여할 가능성이 높은데 빌런들끼리 무슨 신뢰가 있다고 취약점을 찾게 놔두고 포상을 한다는 건지 참으로 어이없고 기가 찰 노릇입니다. 

2022년 7월 국내 버그바운티 프로그램

※ 소개되는 버그바운티 프로그램은 프로그램 시작일과 프로그램 시행 기간을 고려하여 선정됩니다. "신규"는 프로그램 시작일을 기준으로 당월에 새롭게 시작된 프로그램을 뜻하며, "기존"은 프로그램을 시행한지 오래되었더라도 글 작성 시점 기준으로 12개월 이내에 시작되고 시행기간이 유효한 프로그램을 의미합니다. 



■ 신규 프로그램: 0건

■ 기존 프로그램: 10건

마인리스트

• 제공 플랫폼: 버그캠프
  
• 기간: 2022년 5월 3일 - 
• 최대 포상금: 200,000원
• 타겟 시스템 유형: 웹
• 프로그램 URL: https://bugcamp.io/programs/4f41604ba0d60125bd15d0ad5f90c27c

BIFROST

• 제공 플랫폼: 패치데이
  
• 기간: 2022년 2월 7일 - 2023년 2월 7일  
• 최대 포상금: 50,000,000원
• 타겟 시스템 유형: BiFi, BiFi X, BiFi BTC Extension 스마트 컨트랙트의 최신버전 소스코드
• 프로그램 URL: https://patchday.io/bifrost-pilab/bifrost

Klaytn Blockchain

• 제공 플랫폼: 패치데이
  
• 기간: 2022년 1월 12일 - 2023년 1월 12일  
• 최대 포상금: 50,000,000원
• 타겟 시스템 유형: Klaytn 노드 및 스마트 컨트랙트의 소스코드, 블록체인 노드
• 프로그램 URL: https://patchday.io/klaytn/klaytn-blockchain

CodeEngn 대표 홈페이지

• 제공 플랫폼: 버그캠프
  
• 기간: 2021년 6월 10일 - 
• 최대 포상금: 500,000원
• 타겟 시스템 유형: 웹
• 프로그램 URL: https://bugcamp.io/programs/4d39f5f7058e3a6089a17e1beae024ab 

한국CISSP협회 대표 홈페이지

• 제공 플랫폼: 버그캠프
• 기간: 2021년 6월 7일 -
• 최대 포상금: 100,000원
• 타겟 시스템 유형: 웹
• 프로그램 URL: https://bugcamp.io/programs/4ca1fd4c425ccca6ba9d90911a5dd908

Remote Browser

• 제공 플랫폼: 버그캠프
• 기간: 2021년 7월 21일 -
• 최대 포상금: 500,000원
• 타겟 시스템 유형: 웹
• 프로그램 URL: https://bugcamp.io/programs/475e65db7e2b11c68ac1d7aeeea1bae2

Webhacking.kr

• 제공 플랫폼: 버그캠프
• 기간: 2021년 8월 2일 -
• 최대 포상금: 1,500,000원 
• 타겟 시스템 유형: 웹
• 프로그램 URL: https://bugcamp.io/programs/441035cefaf0279ab99189ea3433443d

Naver Whale

• 제공 플랫폼: 패치데이
  
• 기간: 2021년 10월 25일 - 2022년 10월 25일
• 최대 포상금: USD $7,500
• 타겟 시스템 유형: 소프트웨어(네이버 웨일브라우저)
• 프로그램 URL: https://patchday.io/naver/naver-whale

PatchDay

• 제공 플랫폼: 패치데이
  
• 기간: 2021년 10월 5일 - 2022년 10월 5일 
• 최대 포상금: 2,000,000원
• 타겟 시스템 유형: 웹
• 프로그램 URL: https://patchday.io/theori/patchday/

Dreamhack

• 제공 플랫폼: 패치데이
  
• 기간: 2021년 10월 5일 - 2022년 10월 5일
• 최대 포상금: 2,000,000원
• 타겟 시스템 유형: 웹
• 프로그램 URL: https://patchday.io/theori/dreamhack