화이트 햇 해커의 길중에 하나인 소프트웨어의
취약점을 알아내고 그것을 신고하여 포상금도
받고 명성과 실력을 쌓을 수 있는 제도를 소개하는
포스팅을 하겠습니다.
화이트 햇 해커의 길이 아직까지 쉽지 않습니다.
기업들이 보안에 돈 쓰는 것을 아끼는게
원인이지요
그냥 보통 컴퓨터 엔지니어를 하면서
해킹도 공부하는것이라면 몰라도
순수하게 화이트 햇 해커만으로 먹고 사는길은
쉽지 않습니다.
취업을 하려면 포트폴리오도 중요한데요
자신의 포트폴리오를 만들 수 있게 소프트웨어
취약점 신고제도를 운영하고 있습니다.
취약점 신고자에게 포상(=돈)도 하고 활동량이
많으면 KISA 홈페이지 명예의 전당에
이름도 올릴 수 있는 제도를 소개하겠습니다.
Bug Bounty란?
1. 소프트웨어 취약점을 찾아낸 사람에게
포상금을 지급하는 제도입니다.
2. 화이트 햇 해커의 개인역량 및 인지도
상승, 금전적 이익이 있습니다.
3. 기업의 취약점 업데이트, 소프트웨어
품질 향상, 보안 위협 대응 비용을 절감
할 수 있습니다.
국내외 Bug Bounty 현황은 아래와 같습니다.
KISA의 소프트웨어 신규 취약점 신고포상제에
대해 알아보겠습니다.
참가자격: 국내 및 외국에 거주하는 한국인입니다.
포상대상: 최신버전 소프트웨어에 영향을 주는
Zeroday 취약점입니다.
포상 제외 대상: 실제로 서비스 중인 웹사이트나 시스템
에 특정한 데이터를 전송하여 영향을 줄 우려가 있는
취약점입니다.
그리고 취약점 신고전 외부에 공개되거나
다른곳에서 포상을 받은 취약점은 제외됩니다.
포상범위: 30만원에서 500만원까지입니다.
아래는 KISA의 취약점 신고 처리 절차입니다.
이상이에요 전 일단 중요부분만 글을 적었는데요
더 관심있으신분들은 KISA에서 제공하는 보고서
를 직접 보시는게 도움되실것입니다.
파일로 같이 올리겠습니다.
파일은 아래에 있습니다.
SW_신규_취약점_신고포상제_운영현황.pdf
화이트 햇 해커님들 화이팅!
블랙해커들로부터 민간인들 좀 지켜주세요