취약점 공개 정책 (VDP)
사이버 환경에서의 취약점 보고의 문제점
- 적절한 담당자에게 연락하기 어려움
- 적절한 연락 채널을 찾기 어려움
- 보고 내용이 적절한 담당자에게 전달되었는지 확인이 어려움
취약점 공개 정책 부재로 인한 결과
- 취약점 정보 유출
- 취약점이 보고되지 않음
- 기관이 취약점에 대한 정보를 얻지 못함
2016년 미 국방부(DOD)는 미국 정부를 위해 만든 최초의 VDP를 개발
2020년 CISA(Cybersecurity and infrasturcture Security Agency)는 모든 기관들에게 취약점 공개 정책(VDP)를 설립하도록 지시
VDP는 선의의 목적을 취약점으로 찾는 보안 연구자들에게 법적 조치를 하지 않고 취약점 보고서를 제출할 수 있게 함
https://www.cisa.gov/vulnerability-disclosure-policy-template
VDP 템플릿
- 연락처 정보 : 취약점 보고를 어디로 하면 좋을지에 대한 정보
- 보고 규칙 : 어떤 유형의 취약점을 어떻게 보고해야 하는지 등에 대한 정보 (가능하면 영어로 작성)
- 법적 보호 : 취약점을 보고하는 연구자가 법적인 행동에 대해 보호받을 수 있도록 하는 규정
- 보상 정책 : 필요한 경우, 보고된 취약점에 대한 보상이나 인정에 대한 정책
- 피드백 : 정기적인 피드백 및 투명한 프로세스 공개
VDP 5가지 구성요소
- 목적/약속선언 : VDP가 왜 필요하고 중요한 이유에 대한 내용을 포함해야 함
- 범위(Scope) : 제품 및 서비스, 취약점 유형, 도메인 범위 등의 내용을 포함해야함, 취약점을 찾는 살마들이 어떤 자산에 주의를 기울여야 할지에 대한 가이드라인 제공
법적 보호(Safe Harbor) : 찾아낸 취약점에 대한 법적 조치나 처벌을 받지 않을 것이라는 확신을 주는 선언
프로세스 설명 : 취약점 찾아낸 사람들이 어떻게 보고서를 제줄하고 제출 시 필요한 정보는 무엇인지에 대한 설명
보고서 평가 방법 : 보고서가 어떻게 평가될 것인지에 대한 설명 (ex : 제출 후 첫 응답가지 대기 시간, 취약점을 언제부터 공개할 수 있는 지 등)
국내외 버그헌팅 플랫폼 종류
플랫폼 종류
기업 자체 버그바운티
- Google : bughunters.google.com
- Apple : security.apple.com
- Naver : bugbounty.naver.com
버그바운티 중계 플랫폼 이용
- Hackerone : hackerone.com
- BugCrowd : bugcrowd.com
- Find the Gap : findthegap.co.kr
hackerone
- 해외 최대 규모의 버그바운티 플랫폼
- 미 국방부, Google, Microsoft 등의 고객사 유치
bugcrowd
- HackerOne과 비슷한 규모의 버그바운티 플랫폼
- Tesla, Atlassian, Mastercard 등의 고객사 유치
Zerodium
- 보안 취약점 구매 및 판매 플랫폼, 고가의 보상금(프리미엄)을 제공하기로 유명
- 특히, 웹 브라우저, 스마트폰, 서버 SW 등의 취약점을 취급
- apple, android 등 제로데이 취약점(제품 제작자가 인지하지 못한 취약점)을 찾아내는 것을 선호
huntr
- 오픈소스(Github 등) 버그바운티 플랫폼
- 초보부터 경험이 많은 사람까지 참여하기 좋고 쉽게 CVE 획득할 수 있어 하기 좋음
Find The Gap (국내 최대)
- 국내 최대 규모의 버그바운티 플랫폼
- 2500명 이상의 윤리적 해커 활동
- 삼성 SDS에서 분사 > 파인더 갭으로 개명
patchday
- 티오리 버그바운티 플랫폼
zerowhale
- 국내 버그바운티 포상금이 높음
- hackone과 bugcrowd만큼 높음
KISA
- 국내 유일 공공 기관 버그바운티 플랫폼
결론
버그헌팅 및 버그바운티 플랫폼이 상당히 많고 국내에도 다수가 있다는 걸 알게되었다.
나 또한 파인더갭에 가입되어 있으며, 국내에서 가장 많은 사람들이 사용한다.
해킹 및 취약접 분석에 관심이 있다면 파인더갭에 가입 후 윤리적인 해킹을 시도 해보는 게 좋을 것 같다.
'정보보안 > 버그헌팅' 카테고리의 다른 글
| 사이버 킬 체인(Cyber Kill Chain), 사이버 공격의 단계와 방어 전략 (2) | 2024.07.03 |
|---|---|
| [버그헌팅] 구글 해킹 및 구글 해킹 활용 (0) | 2024.06.19 |
| [버그헌팅] 취약점 리스크 산정화 방법 (0) | 2024.06.10 |
| [버그헌팅] 윤리적 해킹 및 해커의 종류 (0) | 2024.06.05 |
| [버그헌팅] 버그헌팅 기초 및 버그바운티 (0) | 2024.06.04 |