지니언스 버그바운티 프로그램 FAQ

Q. 지니언스 버그바운티 프로그램의 운영 목적은 무엇인가요 ?

지니언스 버그바운티 프로그램은 지니언스 제품 및 서비스의 취약점을 찾아낸 사람에게 포상금을 지급함과 동시에 서비스 취약점을 조기에 찾아 안전한 서비스를 제공하기 위한 프로그램입니다.

 

Q. “지니언스 버그바운티 프로그램의 이용약관”은 무엇인가요 ?

지니언스 버그바운티 프로그램에 참여하고 포상을 받기 원하는 참가자는 이용약관에 동의해야 하며, 취약점을 신고한 경우 본 약관에 동의한 것으로 간주됩니다.

 

Q. 신고된 취약점 신고서는 어떤 절차에 의해 처리되나요 ?

진행절차는 총 4단계로 등록 – 확인 – 평가 – 지급 단계로 진행됩니다.

  • 1단계(등록) : 보안 취약점 신고서를 다운로드 하여 메일을 통해 접수합니다.
    신고서가 접수되면 취약점 신고서가 수신되었다는 확인 메일을 받습니다.
  • 2단계(확인) : 신고 접수된 취약점 기본 정보를 파악하고 신규 취약점 여부를 판단합니다.
    신고된 내용만으로 취약점 여부 판단이 불가능 한 경우, 보완을 요청할 수 있습니다.
    신규 취약점이 아닌 경우 신고자에게 피드백 드립니다.
  • 3단계(평가) : 전월 말일까지 접수된 신규취약점으로 판단된 취약점에 대해서 평가기준에 따라 평가를 수행합니다.
  • 4단계(지급) : 분기단위로 취약점 평가결과에 따른 포상금을 최종 확정하고, 포상금을 지급합니다.
    포상금이 확정되면 이메일을 통해 결과를 통보하고, 포상금 지급을 위한 추가정보를 요청합니다.

 

Q. 신고된 취약점 신고서의 중복 기준은 무엇인가요 ?

다른 참가자로부터 동일한 취약점에 대해 신고된 경우, 첫번째 적격 신고서만 평가대상으로 인정합니다. 다만 중복 보고서가 이전에 알려지지 않은 새로운 정보를 제공하는 경우 중복 보고서를 제출한 신고자에게 포상금을 부여할 수 있습니다.

동일한 참가자로부터 유사한 취약점에 대한 신고를 받는 경우, 여러건의 취약점 신고서로 접수되었더라도 중복되는 취약점으로 판단하여 하나의 취약점으로 간주합니다.

취약점이 발생하는 제품/서비스가 다르나, 같은 오픈소스 또는 펌웨어 내 동일한 취약점일 경우, 최초 신고한 취약점만 인정됩니다.

 

Q. 제출한 취약점 신고서의 수정은 가능한가요 ?

동일한 참가자가 재신고한 경우, 마지막에 제출한 신고서가 평가대상이 됩니다. 단, 분기별 평가가 완료된 이후 제출한 경우에는 수정전 신고서로 평가가 진행됩니다.

 

Q. 취약점 평가는 어떻게 진행되나요 ?

신고된 취약점은 자체 평가위원회에서 월 단위로 평가가 진행되며, 자체 평가위원회의 평가결과에 따라 포상금 지급여부 및 금액이 분기 단위로 결정됩니다.

평가결과는 신고자에게 메일로 안내됩니다.

 

Q. 포상금은 언제 지급되나요 ?

포상금은 분기 단위(1월, 4월, 7월, 10월)로 지급됩니다.

모든 취약점이 포상금을 받는 것은 아니며, 포상 대상자에게 포상금 수령을 위한 소득세법 등 관련 법령에 따라, 계좌번호 등의 추가적인 정보 제출을 요구할 수 있습니다.

 

Q. 프로그램을 통해 지급되는 현금 포상에는 한도가 있나요 ?

어느 정도 정해진 기준은 있으나, 프로그램을 통해 제공되는 포상금에 대한 확정된 제한은 없습니다. 신고된 취약점의 심각성 등을 기준으로 평가하고 각 신고에 대해 적절한 현금 포상금을 결정합니다.

 

Q. 한 사람이 신고할 수 있는 취약점의 수가 제한되나요 ?

신고된 취약점은 평가 결과에 따라 포상금을 지급하는 것으로 취약점 수의 제한은 없습니다. 다만, 유사한 취약점을 여러 건 신고한 경우, 한 건으로 간주될 수 있습니다.

 

Q. 신고한 취약점에 대한 세부 정보를 블로그, SNS 등에 게시할 수 있나요 ?

이용 약관 제 9조에 명시된 바와 같이 지니언스의 허락 없이 취약점 정보를 제 3자에게 공유, 누출 또는 공개할 수 없습니다.

 

Q. 팀을 구성하여 찾은 취약점은 어떻게 신고하나요 ?

팀의 대표자를 선정하여 대표자 명의로 신고하면 됩니다. 연락 및 포상금 지급은 대표자를 통해 진행됩니다.

 

Q. 포상금 지급 대상이 되는 보안 취약점은 무엇인가요 ?

취약점 신고 당시 보안 업데이트가 나오지 않은 소프트웨어 중 실제 공격에 악용될 수 있는 취약점에 대해 포상금이 지급됩니다.

이용 약관 제 7조 (금지 사항 및 포상금 제외 조건)에 명기된 항목에 해당되는 경우는 평가 대상 및 포상금 지급 대상에서 제외하며, 별도의 조치 없이 종결될 수 있습니다.

또한 실제 서비스 중인 웹사이트나 시스템에 정보통신 서비스 제공자의 동의를 받지 않고 정당한 접근 권한 없이 발굴된 취약점은 지급 대상에서 제외되며, 법에 의해 처벌 받을 수 있습니다. (정보통신망 이용촉진 및 정보보호 등에 관한 법률, 제 48조 제 1항, 제 71조 제 1항 제 9호 및 제 2항 참고)

 

Q. 신고 대상 외 제품 및 서비스에서 찾은 취약점도 신고 가능한가요 ?

명시된 제품 및 서비스와 도메인 이외에 버그를 찾는 시도는 기본적으로 허용되지 않으며, 문제 발생 시에는 책임이 부여될 수 있습니다.

반드시 대상 범위 내의 제품 및 서비스를 대상으로 버그바운티를 진행해 주시기 바랍니다. 또한 이용 약관 제 3조에 포함된 제품 및 서비스에 대해서만 포상금이 지급됩니다.

 

Q. 접수된 취약점 신고서의 처리 상태 등에 대해 어떻게 문의할 수 있나요 ?

접수 확인 메일 및 평가 결과 메일(분기 내)을 받지 못하셨거나 현재 진행 상태 및 버그바운티 프로그램 관련하여 궁금하신 내용은 취약점 접수 이메일(bugbounty@genians.com)을 통해서 언제든지 문의하실 수 있습니다.