본문내용 바로가기 메인메뉴 바로가기

하단내용 바로가기

FAQ

FAQ

포상금 지급 대상이 되는 보안 취약점은 어떤 것인가요?2013.01.29

취약점 신고 당시 보안 업데이트가 나오지 않은 소프트웨어 취약점 중 실제 공격에 악용될 경우 다수의 국민에게 피해를 줄 수 있는 건을 대상으로 포상금이 지급됩니다. 

 

아래의 경우에는 포상 및 평가 대상에서 제외하며, 일반 신고로 접수되거나 별도의 조치 없이 내부 종결될 수 있습니다.

 

  1. 실제 서비스 중인 웹사이트나 시스템(서버, 네트워크, 보안장비 등)에 특정 데이터를 전송하여 영향을 줄 우려가 있는 서비스 취약점
    (xxx 홈페이지에서 발생하는 Sql Injection, XSS 취약점 등)
    ※ 「정보통신망 이용촉진 및 정보보호에 관한 법률」 제71조 제10호 및 제48조 제3항에 따라 정보통신망의 안정적 운영을 방해할 목적으로 대량의 신호 또는 데이터를 보내거나 부정한 명령을 처리하도록 하는 등의 방법으로 정보통신망에 장애를 발생하게 하였다면 5년 이하의 징역 또는 5천만원 이하의 벌금에 처한다.
  2. 해당 소프트웨어가 동작함에 있는 필수 요소(프레임워크 등)의 보안업데이트를 수행할 경우, 취약점이 발현되지 않거나, 기본 및 필수 보안 설정 등을 인위적으로 해제, 변경 등을 해야만 발생하는 취약점
  3. 타인이 발견한 취약점 또는 이미 일반에게 공개된 취약점 정보
  4. 사용자의 극단적인 개입이 있어야 악용될 수 있는 취약점 (exe 파일 실행, 레지스트리 수정 등)
  5. 가능성만 제시된 완벽하지 않은 취약점 정보
  6. 취약점으로 인해 발생할 수 있는 피해가 매우 미미하거나, 공격자 측면에서 신고된 취약점을 굳이 악용에 사용할 필요가 없을 정도로 파급도가 매우 낮은 취약점
  7. 제조사 폐업, 단종제품 등 보안 업데이트 개발이 불가능한 제품인 경우
  8. 신고 접수된 정보가 불분명하거나 미약하여 취약점 정보를 파악할 수 없는 경우
  9. 신고서 동의 관련 내용을 임으로 변조하여 신고한 경우
  10. 개념증명코드(Proof Of Concept Code) 제공이 없는 신고
  11. 허위 또는 과장된 취약점 정보를 담은 신고
  12. 신고 취약점 정보에 대한 신고자 저작권 행사 등을 명시할 경우
  13. 제조사에 먼저 신고한 취약점, 타 대회 및 타 버그바운티에 신고, 포상된 취약점일 경우
  14. 정부 지원 사업*을 통해 발굴된 취약점인 경우(단, 명예의 전당에 게시)

    * 정부 예산이 투입된 연구과제 또는 프로젝트

분류 S/W 신규 보안 취약점 신고 포상제