지니언스 버그바운티 프로그램 FAQ
Q. 지니언스 버그바운티 프로그램의 운영 목적은 무엇인가요 ?
지니언스 버그바운티 프로그램은 지니언스 제품 및 서비스의 취약점을 찾아낸 사람에게 포상금을 지급함과 동시에 서비스 취약점을 조기에 찾아 안전한 서비스를 제공하기 위한 프로그램입니다.
Q. “지니언스 버그바운티 프로그램의 이용약관”은 무엇인가요 ?
지니언스 버그바운티 프로그램에 참여하고 포상을 받기 원하는 참가자는 이용약관에 동의해야 하며, 취약점을 신고한 경우 본 약관에 동의한 것으로 간주됩니다.
Q. 신고된 취약점 신고서는 어떤 절차에 의해 처리되나요 ?(23년 9월 1일 수정)
진행절차는 총 4단계로 접수 – 확인 – 평가/패치 – 지급 단계로 진행됩니다.
- 1단계(접수): 보안 취약점 신고서는 구글폼을 통해 접수합니다.
- 신고서가 접수되면 취약점 신고서가 수신되었다는 확인 메일을 신고자에게 발송합니다. (3일 이내) - 2단계(확인): 신고 접수된 취약점 기본 정보를 파악하고 신규 취약점 여부를 판단합니다.
- 신고된 내용만으로 취약점 여부 판단이 불가능 한 경우, 신고서의 보완을 요청할 수 있습니다.
- 신규 취약점 여부를 판단하여 신고자에게 결과를 피드백 드립니다. (2주일 이내) - 3단계(평가/패치): 신규취약점으로 판단된 취약점에 대해서 평가기준에 따라 평가를 수행하고 취약점 해결을 위해 제품 및 서비스 패치를 진행합니다.
- 매월말 기준으로 취약점 패치여부를 확인하여 신고자에게 피드백 드립니다. - 4단계(지급): 패치 완료 또는 이행점검이 확인된 취약점에 대해서 포상금을 지급합니다. (월단위 지급)
- 취약점 패치 또는 이행점검이 확인된 월의 익월말에 포상금을 지급합니다.
- 단, 취약점 패치가 안된 경우에는 신고서 접수 후 60일이 지난 날짜의 익월말에 포상금이 지급됩니다.
- 패치 및 이행점검 결과가 확인되면 이메일을 통해 결과를 통보하고, 포상금 지급을 위한 추가정보(계좌정보 등)를 요청합니다.
Q. 버그바운티를 위한 CSM 회원가입 전용 URL 이란 무엇인가요 (24년 3월 29일 추가)
CSM 관련 취약점을 발견하기 위해 회원가입이 필요한 경우에는 CSM 서비스의 공식적인 회원가입 URL(https://my.demo.genians.co.kr/register/) 이 아닌 다음의 버그바운티 회원을 위한 전용 URL을 활용해 주시기 바랍니다.
- 전용 URL : https://my.demo.genians.co.kr/register/?registertype=bugbounty
위의 회원가입 전용 URL을 통해서 가입하지 않고 취약점을 신고하는 경우에는 포상에서 제외될 수 있습니다.
Q. 신고된 취약점 신고서의 중복 기준은 무엇인가요 ?
다른 참가자로부터 동일한 취약점에 대해 신고된 경우, 첫번째 적격 신고서만 평가대상으로 인정합니다. 다만 중복 보고서가 이전에 알려지지 않은 새로운 정보를 제공하는 경우 중복 보고서를 제출한 신고자에게 포상금을 부여할 수 있습니다.
동일한 참가자로부터 유사한 취약점에 대한 신고를 받는 경우, 여러건의 취약점 신고서로 접수되었더라도 중복되는 취약점으로 판단하여 하나의 취약점으로 간주합니다.
취약점이 발생하는 제품/서비스가 다르나, 같은 오픈소스 또는 펌웨어 내 동일한 취약점일 경우, 최초 신고한 취약점만 인정됩니다.
Q. 제출한 취약점 신고서의 수정은 가능한가요 ?
동일한 참가자가 동일한 취약점을 재신고한 경우, 마지막에 제출한 신고서가 평가대상이 됩니다. 단, 평가가 완료된 이후 제출한 경우에는 수정전 신고서로 평가가 진행됩니다.
Q. 취약점 평가는 어떻게 진행되나요 ?
신고된 취약점은 자체 평가위원회에서 월 단위로 평가가 진행되며, 자체 평가위원회의 평가결과에 따라 포상금 지급여부 및 금액이 월 단위로 결정됩니다.
평가결과는 신고자에게 메일로 안내됩니다.
Q. 포상금은 언제 지급되나요 ?(23년 9월 1일 수정)
포상금은 취약점 패치가 확인된 월의 익월말에 지급됩니다. 이행점검이 필요한 취약점은 이행점검이 확인된 월의 익월말에 지급됩니다.
만약 일정 기간동안 취약점 패치가 되지 않는 경우에는 신고서 접수 후 60일이 지난날짜의 익월말에 포상금이 지급됩니다.
모든 취약점이 포상금을 받는 것은 아니며, 포상 대상자에게 포상금 수령을 위한 소득세법 등 관련 법령에 따라, 계좌번호 등의 추가적인 정보 제출을 요구할 수 있습니다.
Q. 참가자에게 요구되는 이행점검이란 무엇인가요 ?(23년 9월 1일 추가)
이행점검이란 해당 취약점이 패치된 이후, 취약점 심각도가 높음(High) 등급 이상인 신고서에 대해서 회사가 참가자에게 패치여부 확인을 요청하는 것입니다.
참가자는 해당 취약점이 재현되는지 확인하여 관련 증빙을 포함하여 회사에 이메일로 회신해야 합니다.
만약 참가자가 이행점검 요청을 받은 후 2주일 이내 증빙과 함께 회신하지 않으면, 포상금이 지급되지 않을 수 있습니다.
Q. 프로그램을 통해 지급되는 현금 포상에는 한도가 있나요 ?
어느 정도 정해진 기준은 있으나, 프로그램을 통해 제공되는 포상금에 대한 확정된 제한은 없습니다. 신고된 취약점의 심각성 등을 기준으로 평가하고 각 신고에 대해 적절한 현금 포상금을 결정합니다.
Q. 한 사람이 신고할 수 있는 취약점의 수가 제한되나요 ?
신고된 취약점은 평가 결과에 따라 포상금을 지급하는 것으로 취약점 수의 제한은 없습니다. 다만, 유사한 취약점을 여러 건 신고한 경우, 한 건으로 간주될 수 있습니다.
Q. 신고한 취약점에 대한 세부 정보를 블로그, SNS 등에 게시할 수 있나요 ?
이용 약관 제 9조에 명시된 바와 같이 지니언스의 허락 없이 취약점 정보를 제 3자에게 공유, 누출 또는 공개할 수 없습니다.
Q. 팀을 구성하여 찾은 취약점은 어떻게 신고하나요 ?
팀의 대표자를 선정하여 대표자 명의로 신고하면 됩니다. 연락 및 포상금 지급은 대표자를 통해 진행됩니다.
Q. 포상금 지급 대상이 되는 보안 취약점은 무엇인가요 ?
취약점 신고 당시 보안 업데이트가 나오지 않은 소프트웨어 중 실제 공격에 악용될 수 있는 취약점에 대해 포상금이 지급됩니다.
이용 약관 제 7조 (금지 사항 및 포상금 제외 조건)에 명기된 항목에 해당되는 경우는 평가 대상 및 포상금 지급 대상에서 제외하며, 별도의 조치 없이 종결될 수 있습니다.
또한 실제 서비스 중인 웹사이트나 시스템에 정보통신 서비스 제공자의 동의를 받지 않고 정당한 접근 권한 없이 발굴된 취약점은 지급 대상에서 제외되며, 법에 의해 처벌 받을 수 있습니다. (정보통신망 이용촉진 및 정보보호 등에 관한 법률, 제 48조 제 1항, 제 71조 제 1항 제 9호 및 제 2항 참고)
Q. 신고 대상 외 제품 및 서비스에서 찾은 취약점도 신고 가능한가요 ?
명시된 제품 및 서비스와 도메인 이외에 버그를 찾는 시도는 기본적으로 허용되지 않으며, 문제 발생 시에는 책임이 부여될 수 있습니다.
반드시 대상 범위 내의 제품 및 서비스를 대상으로 버그바운티를 진행해 주시기 바랍니다. 또한 이용 약관 제 3조에 포함된 제품 및 서비스에 대해서만 포상금이 지급됩니다.
Q. NAC(Network Access Control) 란 무엇인가 ?
네트워크 접근제어(Network Access Control)는 네트워크에 접속하는 장치에 대해 접속 가능 여부를 확인하여 인가된 장치만이 접속할 수 있도록 제한하는 솔루션입니다.
자세한 내용은 홈페이지 관리자 가이드(NAC의 이해)를 참고하시기 바랍니다.
Q. NAC의 구성요소는 어떻게 되나요 ?
Genian NAC는 "정책서버", "네트워크 센서", "에이전트"의 3개의 구성요소로 구축됩니다.
자세한 내용은 홈페이지 관리자 가이드(구성요소 이해)를 참고하시기 바랍니다.
Q. NAC 설치는 어떻게 할 수 있나요 ?
Genian NAC를 시스템에 설치하고 관리자 웹 및 CLI 콘솔에 액세스하는 과정은 홈페이지 관리자 가이드(Genian NAC 설치)를 참고하시기 바랍니다.
Q. 접수된 취약점 신고서의 처리 상태 등에 대해 어떻게 문의할 수 있나요 ?(23년 9월 1일 수정)
버그바운티 프로그램 관련하여 궁금하신 내용은 취약점 관련 이메일(bugbounty@genians.com)을 통해서 언제든지 문의하실 수 있습니다.
취약점 신고서 접수 확인 메일(3일 이내) 및 평가 결과 메일(월 단위)을 받지 못하셨다면 이메일로 문의해 주세요.
