버그바운티(Bug Bounty)

[채채파더]

240528 (보도자료) 석간_화이트해커와 함께 금융의 빈틈을 찾아라! - 금융권 보안취약점 신고 포상제(버그바운티) 실시 -.hwp

382.50KB

	< 버그바운티(Bug Bounty) >
ㅇ 소프트웨어나 웹 사이트를 대상으로 보안취약점을 발견･신고하면 이를 평가하여 포상금을 지급하는 제도 ㅇ 기존 모의해킹과 달리 누구나 참가할 수 있고 인원이 한정되어 있지 않기 때문에 역량이 있는 다수가 정보시스템을 점검할 수 있는 방식 ㅇ 특히, 화이트해커 등 외부 공격자 시선에서 ‘알려지지 않은 취약점’을 사전에 발굴하는 적극적 보안대응의 개념

참고

2024년 금융권 버그바운티(집중신고제) 개요

1. 참가대상

□화이트해커, 정보보호에 관심이 있는 대학(원)생 등 국내·외에 거주하는 대한민국 국민이면 누구나 참가 가능

2. 참가신청

□참가신청서 및 비밀유지서약서를 작성하여 이메일*로 제출( ~ 8.31.)

‣ “참가신청서” 및 “비밀유지서약서”는 금융보안원 홈페이지(www.fsec.or.kr)에서 다운로드 가능

‣ 참가신청 및 신고접수 이메일 주소 : vuln@fsec.or.kr

※ 참가신청을 완료한 경우에만 신고대상 세부 정보 확인 및 취약점 발굴·신고 가능.

참가신청을 하지 않거나 정보통신망법 등 관계 법령을 위반하여 신고한 경우 포상대상에서 제외되며 법적 책임을 질 수 있음

3. 신고대상

□신고대상 금융회사 ➊웹사이트, ➋모바일앱, ➌HTS(Home Trading System)를 대상으로 발굴한 신규 보안 취약점(제로데이 취약점)

※ 금융회사별로 신고대상 세부 정보(접속주소, 소프트웨어명 등)가 상이하므로 참가자에게 별도 안내

4. 신고기간

□ 2024.6.1.~8.31. 3개월 간 집중신고 기간 운영

5. 평가기간

□ 2024.9.1.~11.30. 3개월 간 신고받은 취약점에 대해 중요도, 파급력 등의 수준을 금융보안 전문가로 구성된 전문위원(9인)이 합동평가

6. 포상

□ 평가기간 이후 유효 취약점 점수에 따라 차등화하여 포상금 지급 등