개요
- 싱가포르 정부(국방부)는 처음으로 공공 서비스 대상 버그 바운티(Bug Bounty)* 프로그램을 추진하겠다고 발표
* 버그 바운티(Bug Bounty) : 보안 취약점 신고포상제. 기업의 서비스나 제품 등을 해킹해 취약점을 발견한 화이트해커에게 포상금을 지급하는 제도
주요내용
- 싱가포르은 최근 급증하는 사이버공격 위협에 노출되어왔고, 국방부가 그 악의적인 공격의 타깃이 되고 있음
- 싱가포르국방부는 수개월 전(2017.2) 해커에 의해 850여명의 군인과 근로자들의 개인정보를 처리하는 군사시스템이 해킹되었다고 발표
- 2016년 싱가포르 정부는 보안상 정부 컴퓨터에 대한 인터넷 접근을 1년 이내에 차단할 것이라고 발표했으나, 이 사건은 인터넷에서 해당 망에 접근이 가능하다는 사실을 보여줌
- 이 후 싱가포르은 해당서버를 분리하였고, 불과 몇 달 후에 버그 바운티 프로그램을 공식적으로 발표
- 싱가포르 국방부는 2018년 1월 15일부터 2월 4일까지 2주간의 버그 바운티 프로그램 추진을 발표
- HackerOne*을 통해 전 세계 300여명의 화이트 해커를 초청하여 8개의 정부 웹 서비스 대상으로 버그 및 보안 취약점을 찾아내고 포상금을 받을 수 있는 버그 바운티 프로그램 추진
* HackerOne : 미국 국방부와 같은 다른 정부 기관 및 인텔, 트위터 등 대규모 기관과 유사한 프로그램을 추진한 버그 바운티 전문기업
- 보상액은 150달러에서 20,000달러 정도이며, 총 보상액은 버그 리포트 개수와 품질에 따라 달라지나, 민간에서 사이버 보안 취약성 평가 팀을 고용하여 추진하는 비용보다는 적을 것으로 예상(재경부)
<표1. 싱가포르 버그 바운티 대상 8개 웹 서비스 목록>
번호 |
시스템명 |
비고 |
1 |
MINDEF Website |
Ministry of Defence website |
2 |
NS Portal |
e-Services for NSFs and NSmen |
3 |
CMPB Website |
Central Manpower Base website |
4 |
DSTA Website |
Defence Science and Technology Agency website |
5 |
eHealth |
Portal for MINDEF/SAF personnel for medical purposes |
6 |
Defence Mail |
MINDEF/SAF Internet email service and I-Net |
7 |
LearNet 2 Portal |
Learning resource portal for trainees |
8 |
myOASIS Portal |
NSmen administration portal |
출처: mindef.gov.sg(12.12)
[출처]
1. MINDEF Singapore Government, “Factsheet: Ministry of Defence (MINDEF) Bug Bounty Programme”, 2017.12.12.
2. securityweek, “Singapore Ministry of Defence Announces Bug Bounty Program” 2017.12.13.
3. securityweek, “Hackers Breached Non-Classified System at Singapore's Ministry of Defence” 2017.3.1.
작성 : 인프라보호단 전자정부보호팀 |