Genians Bug Bounty Program

지니언스의 버그바운티 프로그램은 국내외의 보안전문가들의 도움으로 제품 및 서비스의 보안 취약점을 빠르게 찾아 고치고,
보안전문가들의 노력에 적절한 보상을 지급함으로써 제품을 더욱 안전하게 만드는 일을 장려합니다.

운영 배경

버그바운티 (Bug Bounty)란 소프트웨어 또는 웹 서비스의 취약점을 찾아낸 사람에게 포상금을 지급하는 제도입니다.
주요 글로벌 기업은 자사 제품 및 서비스의 취약점 발굴 및 보안강화를 위해 버그바운티를 운영중에 있으며, 국내 기업들도 독립적인 버그바운티를 자체적으로 운영중입니다. 또한 국내 NCSC, KISA 는 취약점을 악용한 침해사고 예방을 위해서 보안 취약점 신고포상제를 운영하고 있으며, 지니언스는 KISA가 운영중인 신고 포상제도의 공동운영사로 참여하고 있습니다.

버그바운티
버그

대상

다음의 제품 및 서비스에서 발생하는 취약점들을 신고 대상으로 합니다.
(대상 외의 제보는 포상 대상이 아닙니다.)

– NAC 제품 : Genian NAC V4.* 이상

– Cloud NAC CSM 서비스 : https://my.demo.genians.co.kr/

참고) 지니언스 홈페이지 등 현재 운영 중인 서비스에 대한 취약점은 불법적인 해킹 조장 우려 및 관련법(망법 제48조)에 따른 검증권한 부재로 평가 및 포상 대상에서 제외됩니다. 단, 서비스 취약점 발굴을 위해 지니언스가 허용하는 경우에만 가능합니다.

신고 및 포상 절차

1단계. 보안 취약점 신고서 등록 (수시)

보안 취약점 신고서 양식 : 다운로드

취약점 접수(이메일) : bugbounty@genians.com

2단계. 취약점 접수 확인 (수시)

지니언스는 신고 접수된 취약점 기본 정보를 파악하고 신규 취약점 여부를 판단합니다.

신고된 내용만으로 검증이 불가능한 경우 보완을 요청할 수 있으며, 신규 취약점이 아닌 경우 신고자에게 피드백 합니다.

3단계. 취약점 평가 (월 단위)

지니언스는 전월 말일까지 접수된 신규취약점으로 판단된 취약점에 대해서 평가기준에 따라 취약점 평가를 수행합니다.

4단계. 포상금 지급 (분기 단위)

지니언스는 분기 단위(1,4,7,10월)로 취약점 평가결과에 따른 포상금액을 최종 확정하고 신고자에게 결과를 회신하고 포상금을 지급합니다.

포상금 지급 기준

25점(100점 만점) 이상인 취약점을 대상으로 평가점수에 따라 다음과 같이 차등 지급합니다. (건당 최소 $100 ~ 최대 $2,500)
참고) 무작위 대입공격, 서비스 거부 공격, 제3자의 계정이나 데이터에 접근, 허가 되지 않은 서버 침투 시도 등 취약점 분석 과정에서 비즈니스, 서비스, 사용자들에게 피해를 끼치는 경우 포상대상에서 제외됩니다.

포상
평가점수취약점 중요도포상금액 (USD)포상금액 (1$=1,200원)
81 ~ 100중요(Critical)$1,500 ~ $2,500180만원 ~ 300만원
61 ~ 80심각(Severe)$700 ~ $1,00084만원 ~ 120만원
41 ~ 60보통(Moderate)$300 ~ $50036만원 ~ 60만원
25 ~ 40낮음(Low)$100 ~ $20012만원 ~ 24만원

취약점의 파급도 측면에서 보안 취약점 평가 국제 표준(CVSS 3.1)을 기반으로 공격 영향도와 난이도를 평가하고,
영향 받는 시스템의 보급도와 취약점 발굴 수준을 고려하여 평가점수를 산정합니다.

사항

제약사항 및 취약점 공개정책

– 보안 취약점이 수정되고 대부분의 사용자(고객)가 업데이트할 때까지 신고된 취약점에 대한 자세한 정보는 제3자에게 공개하지 말아 주시기 바랍니다. 단, 지니언스가 서면 등으로 허가하는 경우에는 취약점에 대해서 공개할 수 있습니다.

– 다른 사용자에게 피해를 끼칠 수 있는 행위는 삼가해 주시기 바랍니다.

– 지니언스 및 관계사 임직원은 본 프로그램에 참여할 수 없습니다.

보안 취약점 신고 및 포상절차 관련 문의사항은 bugbounty@genians.com 으로 보내주시기 바랍니다.

대분류소분류내용
보급도보급범위해당 취약점이 발견된 제품의 보급 정도
제한범위침해 가능한 SW에 대한 제한사항
공격 영향도영향범위취약한 구성요소를 넘어 다른 권한 또는 자원에 영향을 미칠 수 있는 정도
기밀성제품에 끼치는 기밀성 측면에서의 영향 정도
무결성제품에 끼치는 무결성 측면에서의 영향 정도
가용성제품에 끼치는 가용성 측면에서의 영향 정도
공격 난이도공격벡터공격하기 위한 경로의 접근 용이성 정도
공격복잡도시스템 구성, 특성 설정 등 공격자 획득해야 하는 전제조건
권한요구도공격자가 취약점을 공격하기 위해 필요한 권한 수준
사용자상호작용취약점을 공격하기 위해 사용자가 수행해야 하는 요구사항
발굴수준발굴 난이도취약점 발굴 시 기술의 난이도
문서완성도신고문서에 대한 내용의 충실도 및 구성의 완성도
보안 취약점 평가 국제 표준(CVSS 3.1)
대분류소분류내용
보급도보급범위해당 취약점이 발견된 제품의 보급 정도
제한범위침해 가능한 SW에 대한 제한사항
공격 영향도영향범위취약한 구성요소를 넘어 다른 권한 또는 자원에 영향을 미칠 수 있는 정도
기밀성제품에 끼치는 기밀성 측면에서의 영향 정도
무결성제품에 끼치는 무결성 측면에서의 영향 정도
가용성제품에 끼치는 가용성 측면에서의 영향 정도
공격 난이도공격벡터공격하기 위한 경로의 접근 용이성 정도
공격복잡도시스템 구성, 특성 설정 등 공격자 획득해야 하는 전제조건
권한요구도공격자가 취약점을 공격하기 위해 필요한 권한 수준
사용자상호작용취약점을 공격하기 위해 사용자가 수행해야 하는 요구사항
발굴수준발굴 난이도취약점 발굴 시 기술의 난이도
문서완성도신고문서에 대한 내용의 충실도 및 구성의 완성도
보안 취약점 평가 국제 표준(CVSS 3.1)