국방부 이어 정부기관으로서는 두 번째 버그바운티... 아직 내부 공개
[보안뉴스 문가용] 버그바운티를 도입하는 조직이 늘어나고 있다. 미국에서는 버그바운티의 순풍이 450여개의 사기업을 넘어 교육 기관과 국가 조직에도 불어오고 있다. MIT 대학이 교육 기관으로서는 최초로 버그바운티를 도입하고 국방부도 동참하더니, 이번엔 미국 총무청도 버그바운티를 고려하고 있다는 소식이다. 다만 아직 이는 IT 미디어 공기업인 페드스쿱(FedScoop)에서만 공유되어 있는 상태로, 대중들에게는 발표되지 않았다.
제한적인 정보이긴 하지만 미국 총무청이 의도하는 프로그램 내용을 살펴보면, 1) 최대 상금은 3천 5백 달러 2) SQL 인젝션, 원격 코드 실행, 사이트 내에서의 권한 상승, 인증 우회 등의 취약점에 특히 관심이 많다는 걸 알 수 있다. 2)번에 해당하는 취약점은 모두 3천 5백 달러를 받을 수 있는 것들이다.
그것보다 조금 아래 단계라고 총무청이 책정한 취약점에는 XSS 오류, CSRF 취약점 등이 있으며 이 수준의 취약점에 대해서는 약 1천 달러의 보상금에 배정되어 있다. 이것보다도 아래 단계에 있는 취약점이 있는데, 서버 설정 오류, 권한 설정 오류, 민감하거나 중요한 정보가 아닌 정보의 유출 등이며 약 500달러의 상금이 걸려 있다.
“하지만 금액이 정확하게 고정된 것은 아니”라고 총무청은 덧붙였다. “면밀한 심사를 통해 정확한 금액을 산출해 지급할 예정”이라는 것. “특히 심각성이 낮은 버그나 취약점에 대해서는 지급 액수에 변화가 있을 가능성이 높습니다. 500달러보다 덜 보상할 수도, 더 보상할 수도 있습니다.”
하지만 보안 전문업체인 IT하베스트(IT-Harvest)의 CSA인 리차드 스티논(Richard Stiennon)은 “버그바운티를 위한 행위인지 악의적인 목적을 가지고 있는 건지 어떻게 구분할 것이며, 컴퓨터 사기와 남용에 관한 법에서부터 순수한 연구원들을 어떻게 보호할 것인지가 문제”라며 “정확한 가이드라인이 나올 때까지는 참가하기가 솔직히 꺼려진다”고 밝혔다.
반명 IDC의 분석가인 피트 린드스트롬(Pete Lindstrom)은 “꺼려하는 사람도 있을 것이지만 정부 기관의 네트워크와 관련된 것이기 때문에 호기심이 더 많이 발동할 것”이라고 내다봤다. “많은 이들이 참가할 것이라고 보여집니다. 다만 소란이 없지 않을 것 같아 걱정입니다.”
Copyrighted 2015. UBM-Tech. 117153:0515BC
[국제부 문가용 기자(globoan@boannews.com)]
- 공공·금융·민간 CPO, 개인정보처리자, 보안담당자 등 4,000여명 참석
- 공무원상시학습, CPPG, CISSP, CISA, ISMS등 관련 교육이수(최대 16시간) 인정
- CPO, 개인정보처리자, 보안담당자 등 사전 무료 참관등록(www.pisfair.org/2016/)
[보안뉴스 문가용] 버그바운티를 도입하는 조직이 늘어나고 있다. 미국에서는 버그바운티의 순풍이 450여개의 사기업을 넘어 교육 기관과 국가 조직에도 불어오고 있다. MIT 대학이 교육 기관으로서는 최초로 버그바운티를 도입하고 국방부도 동참하더니, 이번엔 미국 총무청도 버그바운티를 고려하고 있다는 소식이다. 다만 아직 이는 IT 미디어 공기업인 페드스쿱(FedScoop)에서만 공유되어 있는 상태로, 대중들에게는 발표되지 않았다.
제한적인 정보이긴 하지만 미국 총무청이 의도하는 프로그램 내용을 살펴보면, 1) 최대 상금은 3천 5백 달러 2) SQL 인젝션, 원격 코드 실행, 사이트 내에서의 권한 상승, 인증 우회 등의 취약점에 특히 관심이 많다는 걸 알 수 있다. 2)번에 해당하는 취약점은 모두 3천 5백 달러를 받을 수 있는 것들이다.
그것보다 조금 아래 단계라고 총무청이 책정한 취약점에는 XSS 오류, CSRF 취약점 등이 있으며 이 수준의 취약점에 대해서는 약 1천 달러의 보상금에 배정되어 있다. 이것보다도 아래 단계에 있는 취약점이 있는데, 서버 설정 오류, 권한 설정 오류, 민감하거나 중요한 정보가 아닌 정보의 유출 등이며 약 500달러의 상금이 걸려 있다.
“하지만 금액이 정확하게 고정된 것은 아니”라고 총무청은 덧붙였다. “면밀한 심사를 통해 정확한 금액을 산출해 지급할 예정”이라는 것. “특히 심각성이 낮은 버그나 취약점에 대해서는 지급 액수에 변화가 있을 가능성이 높습니다. 500달러보다 덜 보상할 수도, 더 보상할 수도 있습니다.”
하지만 보안 전문업체인 IT하베스트(IT-Harvest)의 CSA인 리차드 스티논(Richard Stiennon)은 “버그바운티를 위한 행위인지 악의적인 목적을 가지고 있는 건지 어떻게 구분할 것이며, 컴퓨터 사기와 남용에 관한 법에서부터 순수한 연구원들을 어떻게 보호할 것인지가 문제”라며 “정확한 가이드라인이 나올 때까지는 참가하기가 솔직히 꺼려진다”고 밝혔다.
반명 IDC의 분석가인 피트 린드스트롬(Pete Lindstrom)은 “꺼려하는 사람도 있을 것이지만 정부 기관의 네트워크와 관련된 것이기 때문에 호기심이 더 많이 발동할 것”이라고 내다봤다. “많은 이들이 참가할 것이라고 보여집니다. 다만 소란이 없지 않을 것 같아 걱정입니다.”
Copyrighted 2015. UBM-Tech. 117153:0515BC
[국제부 문가용 기자(globoan@boannews.com)]
<저작권자: 보안뉴스(www.boannews.com) 무단전재-재배포금지>
- 국내 최대 규모의 개인정보보호 컨퍼런스 PIS FAIR 2016 - 6월 9일(목)~10일(금) 개최- 공공·금융·민간 CPO, 개인정보처리자, 보안담당자 등 4,000여명 참석
- 공무원상시학습, CPPG, CISSP, CISA, ISMS등 관련 교육이수(최대 16시간) 인정
- CPO, 개인정보처리자, 보안담당자 등 사전 무료 참관등록(www.pisfair.org/2016/)
.jpg)
.jpg)
_m.jpg)
.jpg)
.jpg){kind=small}
.jpg){kind=small}
.jpg){kind=small}
.jpg){kind=small}
.jpg){kind=small}
.JPG){kind=small}
.jpg){kind=small}
.jpg){kind=small}
.jpg){kind=small}
.jpg){kind=small}
.jpg){kind=small}
.jpg){kind=small}
.jpg){kind=small}
.jpg){kind=small}
.jpg){kind=small}
