본문내용 바로가기 메인메뉴 바로가기 하단내용 바로가기

최신동향

최신동향 상세보기
싱가포르 국방부, 버그 바운티 프로그램 발표2018.01.02
개요
 
  1. 싱가포르 정부(국방부)는 처음으로 공공 서비스 대상 버그 바운티(Bug Bounty)* 프로그램을 추진하겠다고 발표
    * 버그 바운티(Bug Bounty) : 보안 취약점 신고포상제. 기업의 서비스나 제품 등을 해킹해 취약점을 발견한 화이트해커에게 포상금을 지급하는 제도

  

주요내용

 

  • 싱가포르은 최근 급증하는 사이버공격 위협에 노출되어왔고, 국방부가 그 악의적인 공격의 타깃이 되고 있음
    - 싱가포르국방부는 수개월 전(2017.2) 해커에 의해 850여명의 군인과 근로자들의 개인정보를 처리하는 군사시스템이 해킹되었다고 발표
    - 2016년 싱가포르 정부는 보안상 정부 컴퓨터에 대한 인터넷 접근을 1년 이내에 차단할 것이라고 발표했으나, 이 사건은 인터넷에서 해당 망에 접근이 가능하다는 사실을 보여줌
    - 이 후 싱가포르은 해당서버를 분리하였고, 불과 몇 달 후에 버그 바운티 프로그램을 공식적으로 발표
     
  1. 싱가포르 국방부는 2018년 1월 15일부터 2월 4일까지 2주간의 버그 바운티 프로그램 추진을 발표
    - HackerOne*을 통해 전 세계 300여명의 화이트 해커를 초청하여 8개의 정부 웹 서비스 대상으로 버그 및 보안 취약점을 찾아내고 포상금을 받을 수 있는 버그 바운티 프로그램 추진
    * HackerOne : 미국 국방부와 같은 다른 정부 기관 및 인텔, 트위터 등 대규모 기관과 유사한 프로그램을 추진한 버그 바운티 전문기업

    - 보상액은 150달러에서 20,000달러 정도이며, 총 보상액은 버그 리포트 개수와 품질에 따라 달라지나, 민간에서 사이버 보안 취약성 평가 팀을 고용하여 추진하는 비용보다는 적을 것으로 예상(재경부)
 
<표1. 싱가포르 버그 바운티 대상 8개 웹 서비스 목록>
번호 시스템명 비고
1 MINDEF Website Ministry of Defence website
2 NS Portal e-Services for NSFs and NSmen
3 CMPB Website Central Manpower Base website
4 DSTA Website Defence Science and Technology Agency website
5 eHealth Portal for MINDEF/SAF personnel for medical purposes
6 Defence Mail MINDEF/SAF Internet email service and I-Net
7 LearNet 2 Portal Learning resource portal for trainees
8 myOASIS Portal NSmen administration portal
출처: mindef.gov.sg(12.12)


 

 


[출처]
1. MINDEF Singapore Government, “Factsheet: Ministry of Defence (MINDEF) Bug Bounty Programme”, 2017.12.12.
2. securityweek, “Singapore Ministry of Defence Announces Bug Bounty Program” 2017.12.13.
3. securityweek, “Hackers Breached Non-Classified System at Singapore's Ministry of Defence” 2017.3.1.



작성 : 인프라보호단 전자정부보호팀
키워드 버그바운티 , 싱가포르