키사측 요청으로 상세 내용은 생략합니다.

바나나팀의 막내(?) EXSO 입니다.

KISA 에선 10월부터 KISA에서 신규 취약점 포상제를 운영하고 있습니다.

포상은 분기별로 이루어지며, 취약점에 대해서 포상 단위는 개별 신고건입니다.

하지만 많은 주변 사람들이 KISA의 취약점 보상제도에 대해 아직 신뢰하지 못한 분들이 많은데 참고하시라고, 신고한 내용에 대한 결과에 대해 그대로 올리겠습니다. 긍정적인지와 부정적인지의 평가는 개인이 내려주시면 되겠습니다.

일단 제 의견은 매우 만족스러운 제도라고 생각합니다. 국내 취약점 연구에 대한 보상 자체를 국가해서 해준다는 자체가 긍정적이며, 꽤 전문적인 평가를 한다는 점과, 크게 인정받지 못하던 국내 소프트웨어 취약점에 대해 상당히 높은 보상을 해준다는 점입니다.

저같은 경우 한컴오피스 2010 파일 포멧을 이용한 code execution 취약점에 대해 신고를 했었으며 평가는 다음과 같은 식으로 이루어 집니다.

구분

파급도

기술난이도

문서완성도

총점평균

득점/만점

42.8 / 55

17.7 / 30

12.5 / 15

73.0 / 100

<평가위원 의견>

국내 파급도 및 피해 발생시 공공기관 PC내 정보탈취 등 2차 피해가 유발될 수 있는 점이 높이 평가됩니다공공기관 등에서 많이 사용되는 프로그램으로 좀더 연구할 경우 실제 공격이 가능할 것으로 예상됩니다.

금액은 키사측에서 공지한대로 최고 500만원까지의 포상이 이루어진다고 합니다. 

또한, 보안 신고자의 credit 을 다음과 같이 게시해 줍니다. 
http://www.krcert.or.kr/kor/data/secNoticeView.jsp?p_bulletin_writing_sequence=1683
버그헌팅 분야는 공부를 시작한지 얼마 되지않아 이런거 올려주면 기분좋습니다.ㅋㅋㅋㅋ

국내 소프트웨어 취약점 연구하시는 분들은 썩혀두지 마시고 신고하셔서 국내 보안에 기여하시고, 또한 재정에 보탬이 되시기 바라면서 포스팅합니다.

 



Posted by EXSO
,