안녕하세요, 파인더갭입니다!
오늘은 버그바운티를 ISMS, ISO27001, PCI-DSS 인증취득에 활용하는 방법에 대해서 안내드리겠습니다.
버그바운티 플랫폼의 운영담당자로서,
담당자분들을 만나게 되면 가장 궁금해하는 부분이 바로 이 인증에 활용 할수 있는지 여부인데요.
보안담당자분들은 모의침투테스트를 통해 취약점을 매번 발견하지만
짧은 기간 동안 적은 인원이 수행하는 모의침투테스트가 효과적인지에 대한 의문을 가지고 계실텐데요.
모의침투테스트의 특성상 수행 인원의 역량에 영향을 많이 받을 수 밖에 없으며,
아무리 뛰어난 진단 인력이라고 하더라도, 절대적으로 짧은 시간 동안 방대한 양의 환경을 모두 진단 하기는
물리적으로 불가능하기 때문입니다.
하지만 그럼에도 불구하고 기업 보안담당자들이 매년 모의침투테스트를 받아야 하는 이유는
제품, 서비스의 보안성 강화의 측면도 있지만
ISMS 인증 또는 ISO 27001 인증 또는 PCI-DSS 인증 등을 취득해야 하고
이 인증의 항목 중에는 "침투테스트를 수행"해야 하는 요구사항이 있기 때문입니다.
한국인터넷진흥원의 ISMS 정보보호인증체계
기업에게는 의무적이거나 또는 사업적인 측면에서 정보보호 인증을 취득해야 하는 이유가 있기 마련입니다.
버그바운티 프로그램이 모의침투테스트보다 더 많은 인원이 더 오랜 시간동안 취약점을 찾는다는 측면에서 장점이 있는 것은 보안 담당자 분이라면 이해하고 계십니다.
그렇지만 과연 이 버그바운티 프로그램을 운영하는 것이 정보보호 인증 취득에 얼마만큼 도움이 될지 궁금해 하십니다.
ISMS 인증시 수행 실적 인정 여부
취약점 점검이 특정방법으로 명시된 것이 아니므로, 버그바운티를 통한 보안점검도 취약점 점검 수행 실적으로 인정받을 수 있음.
단 점검계획, 점검결과, 이행조치 등 산출물을 관리해야 함 [출처] [파인더갭 : 보안인증] 버그바운티로 ISMS, ISO 27001, PCI-DSS 인증을 취득할수 있나요?(24.04.25 인증제도 개선 발표 내용 포함)|작성자 파인더갭 버그바운티
ISO 27001 인증심사시 수행 실적 인정 여부
수행 전 정보보호계획서에 해당 방법이 명시되어 있다면
위험평가 보고서, 이행조치 결과 보고서에 버그바운티 결과를 사용할수 있음.
PCI-DSS 4.0 인증심사시 수행 실적 인정 여부
24년 1월 1일 PCI-DSS 3.1에서 4.0으로 개정되면서
버그바운티를 운영하는 것에 대해 적극 권고하고 있음.
실제로 파인더갭 버그바운티를 사용하고 있는 기업들 중 ISMS 인증, ISO 27001 인증 취득 시
버그바운티 운영 결과 보고서를 취약점 점검 수행 실적으로 인정 받아 문제없이 인증을 취득했던 사례가 다 수 있습니다.
마침 2024년 4월 25일 과학기술정보통신부에서는 정보보호소프트웨어 인증제도를 획기적으로 개선하기 위한 안을 발표하였고 경량화된 인증 적용 방식에 가장 적합한 방식은 M/M 기준이 아닌 플랫폼을 통한 점검 방식이 더 많은 기업이 더 빠르게 점검할수 있는 방법이라 생각합니다.
정보보호소프트웨어 인증제도 혁신, 인증제도 개선
ISMS의 경우
인증기간 평균 5개월 -> 2개월로 단축
수수료 평균 1,100만원 -> 500만원 (50% 절감)
유효기간 3년 -> 5년
많은 보안담당자분들이 이번 변경된 제도를 통해 도움을 받으실수 있으실거 같습니다.
물론 전통적인 모의침투테스트와 버그바운티는 상호보완적으로 운영되어야 합니다.
자동화가 되어 있는 버그바운티 플랫폼을 통해 점검을 수행하면 굉장히 빠른 시간 내에 점검을 수행할수 있어 인증을 준비중이신 보안 담당자분들께서는 문의주시기 바랍니다.
