취약점 공개 정책 및 버그바운티 프로그램

소개

지니언스(주)는 정보를 보호하여 모든 사람들의 보안을 보장하기 위해 최선을 다하고 있습니다. 
이 취약점 공개 정책은 사이버 보안 연구 커뮤니티와 일반 대중(이하 보안 연구자)에게 선의의 취약점 발견 활동을 수행하기 위한 명확한 지침을 제공하고 발견된 취약점을 당사에 제출하는 방법을 안내합니다.
본 정책에서는 이 정책의 적용을 받는 시스템과 연구 방법, 버그바운티 프로그램, 취약점을 공개적으로 공개하기 전에 보안 연구자에게 요청하는 기간 등에 대해 설명합니다.
당사는 보안 연구원이 본 정책에 명시된 대로 발견한 취약점을 편안하게 보고하여 문제를 해결하고 사용자를 안전하게 보호할 수 있기를 바랍니다. 당사는 자신의 전문 지식을 선의로 활용하여 당사와 공유하는 보안 연구원에 대한 책임감을 지키기 위해 이 정책을 개발했습니다.

권한 부여

보안 연구 중에 이 정책을 준수하기 위해 선의로 노력하는 경우, 당사는 문제를 신속하게 이해하고 해결하기 위해 보안 연구자와 협력할 것이며, 지니언스(주)는 연구와 관련된 법적 조치를 적극적으로 행사하지 않을 것입니다. 
이 정책에 따라 수행된 활동에 대해 제 3자가 귀하를 상대로 본 정책에 따라 수행된 활동에 대해 법적 조치를 취할 경우, 저희는 이 승인을 제 3자에게 알리도록하겠습니다.

버그바운티 프로그램

당사는 취약점을 제보할 경우 포상금을 주는 버그바운티 프로그램을 진행하고 있습니다.
취약점 신고는 아래의 버그바운티 플랫폼 또는 구글폼을 이용하여 접수해주세요.

• 버그바운티 플랫폼
• 구글폼

운영 배경

버그바운티 (Bug Bounty)란 소프트웨어 또는 웹 서비스의 취약점을 찾아낸 사람에게 포상금을 지급하는 제도입니다.
주요 글로벌 기업은 자사 제품 및 서비스의 취약점 발굴 및 보안 강화를 위해 버그바운티를 운영 중에 있으며, 국내 기업들도 독립적인 버그바운티를 자체적으로 운영 중입니다.
또한 국내 국가사이버안보센터(NCSC), 한국인터넷진흥원(KISA), 금융보안원(FSI)은 취약점을 악용한 침해사고 예방을 위해서 보안 취약점 신고 제도를 운영하고 있으며, 지니언스는 KISA, FSI가 운영 중인 신고 포상 제도에 참여하고 있습니다.

취약점 신고 및 포상 절차

1) 보안 취약점 신고서 접수

버그바운티 플랫폼 또는 구글폼을 이용하여 접수된 취약점 신고서가 확인되면 신고자에게 알려드립니다. (PGP로 암호화된 이메일을 지원하지 않습니다.)

제출된 보고서를 분류하고 우선순위를 정하는데 도움이 되도록 다음과 같이 작성하는 것이 좋습니다.

• 취약점이 발견된 위치와 익스플로잇의 잠재적 영향에 대해 설명해주세요.
• 취약점을 재현하는데 필요한 단계에 대한 자세한 설명을 제공해주세요.(개념 증명 스크립트 또는 스크린샷, 동영상이 도움이 됩니다.)
• 프로세스 상태에 대해 문의하는 것은 환영하지만 담당팀이 가능한 한 보고서에 집중할 수 있도록 14일에 한번 이상 문의하는 것은 피해주세요.

연락처 정보를 공유해주시면 최대한 신속하고 공개적으로 협조할 것을 약속드립니다.

• 최선을 다해 사용자에게 취약점의 존재를 확인하고 해결이 지연될 수 있는 문제나 문제를 포함하여 해결 과정에서 취하고 있는 조치에 대해 최대한 투명하게 알려드리겠습니다.
• 문제를 논의하기 위해 열린 대화를 유지하겠습니다.
• 이 정책에 따라 제출된 정보는 취약점을 완화하거나 수정하기 위한 방어적인 목적으로만 사용됩니다.
• 당사는 명시적인 허가 없이 사용자의 이름이나 연락처 정보를 공유하지 않습니다.

참고) 발견한 취약점 중 새로 발견된 취약점이 지니언스㈜가 아닌 제품 또는 서비스로 모든 사용자에게 영향을 미치는 경우, 당사는 귀하의 신고를 관련 기관 및 업체와 공유할 수 있으며, 해당 기관 및 업체의 취약점 공개 절차에 따라 처리됩니다.

2) 취약점 확인

취약점을 제출하면 영업일 기준 3일 이내 신고 접수를 확인합니다.
지니언스는 신고 접수된 취약점 기본 정보를 파악하고 신규 취약점 여부를 판단합니다.
신고된 내용만으로 검증이 불가능한 경우 보완을 요청할 수 있으며, 신규 취약점 여부를 판단하여 신고자에게 피드백 합니다.

3) 취약점 평가/패치

지니언스는 신규 취약점으로 판단된 취약점에 대해서 평가기준에 따라 취약점 평가를 수행하고 취약점 해결을 위해 제품 및 서비스를 패치 합니다.
취약점 패치 여부를 신고자에게 피드백 합니다. (매월말)
단, 취약점 중 심각도가 High 이상인 경우에는 패치 이후 신고자에게 이행점검을 요청할 수 있습니다.
이행점검이란 해당 취약점이 패치되었는지 신고자에게 확인을 요청하는 과정을 말합니다.

4) 포상금 지급 (월 단위)

포상금액을 최종 확정하고, 취약점 패치가 확인되면 신고자에게 결과를 회신하고 포상금을 지급합니다.
단, 취약점 패치가 안된 경우 신고서 접수 후 60일이 지난 날짜의 익월에 지급합니다. 그리고, 이행점검이 필요한 취약점은 이행점검이 확인된 이후 포상금을 지급합니다.

이용약관

본 버그바운티 프로그램에 참여하고 포상을 받기 원하는 참가자는 다음의 약관에 동의해야 하며, 취약점을 신고한 경우 다음의 약관에 동의한 것으로 간주됩니다.
이용약관에서는 취약점 신고 및 포상 절차, 포상금 지급 기준에 대해 설명하고 있습니다.

• 버그바운티 이용약관

FAQ

버그바운티 관련 많은 사람들이 자주 물어보는 질문과 답변은 다음을 참고해주세요.

• 버그바운티 FAQ

취약점 공개

지니언스(주)는 취약점을 적시에 수정하기 위해 최선을 다하고 있습니다. 그러나 당사는 즉시 이용 가능한 해결 방안이 없는 상황에서 취약점을 대중에게 공개하면 위험이 감소하거나 증가할 가능성이 있음을 인식합니다. 
우리는 취약점 보고서를 관련 기관 및 영향을 받는 모든 업체와 공유할 수 있습니다. 우리는 명시적인 허가 없이는 보안 연구원의 이름이나 연락처 데이터를 공유하지 않습니다.
당사는 사이버 보안 사고/침해 등, 취약점에 대해 CVE를 등록하여 대응하고, 아래의 페이지에서 공지를 하고 있습니다.

Genian NAC/ZTNA

• https://docs.genians.com/nac/5.0/release/ko/advisories/advisories.html
• https://docs.genians.com/nac/6.0/release/ko/advisories/advisories.html

Genian EDR

• https://docs.genians.com/edr/2.0/release/ko/Security%20Advisories.html
  

또한 제품에 포함되어 있는 다른 SW의 파급력과 영향력이 큰 취약점(공개 소프트웨어 등)으로 인해 당사의 제품이 영향을 받을 경우 해당 취약점을 공지합니다.

질문

이 정책에 관한 질문은 bugbounty@genians.com 으로 보내주시기 바랍니다. 또한 이 정책을 개선하기 위한 제안이 있으면 언제든지 문의해 주시기 바랍니다.