안녕하세요, 파인더갭입니다. 오늘은 파인더갭의 메인 서비스 버그바운티에 대해서 알려 드리겠습니다 :)
버그바운티란,,❓
기업의 서비스 및 제품의 보안 취약점을 찾은 해커에게 포상금을 주는 제도를 말합니다. 💨 즉, 보안 취약점 신고제를 말합니다.
일반적으로 버그바운티 프로그램은 다음과 같은 과정으로 진행됩니다. 범위 정의: 기업은 어떤 제품 또는 서비스에 대해 버그바운티 프로그램을 진행할 것인지, 어떤 종류의 취약점을 포함할 것인지 등을 명확히 정의합니다. 보상 기준 설정: 취약점의 심각성에 따라 보상이 달라질 수 있으며, 일반적으로 취약점의 심각도와 영향도에 따라 보상이 결정됩니다. 보고서 제출: 보안 전문가들은 발견한 취약점을 제보하기 위해 보고서를 작성하고 해당 기업에 제출합니다. 이때 보고서는 취약점의 세부 정보와 함께 적절한 증명을 포함해야 합니다. 검토 및 보상: 제출된 보고서는 기업의 보안팀에 의해 검토되고 취약점의 유효성이 확인됩니다. 유효한 보고서에 대해서는 보상이 지급되며, 이는 일반적으로 현금 또는 상품, 서비스 형태일 수 있습니다.
🔑 버그바운티는 보안 취약점을 조기에 발견하여 이를 해결하고 보안 수준을 높이는 데 도움을 줄 뿐만 아니라, 보안 커뮤니티와 기업 간의 협력을 촉진하여 더 안전한 온라인 환경을 조성하는 데 기여합니다.
주요 글로벌 기업인 구글, 애플, MS, 메타 등에서는 이미 버그바운티를 운영 중에 있으며, 삼성전자, LG, 네이버, 카카오 등 국내를 대표하는 IT 기업에서도 버그바운티를 진행하고 있습니다.
파인더갭의 버그바운티,,❗
[기술적 강점 - 가상환경 버그바운티]
파인더갭만의 가상환경 버그바운티를 윤리적 해커에게 제공하여 안전하고 자유롭게 점검할 수 있도록 제공하고 있습니다. (가상환경 취약점 점검에 대한 특허 실시권 보유)
[기술적 강점 - 취약점 분석 솔루션]
AI 기반의 리포트 중복 식별/평가 솔루션을 개발, 서비스 최적화를 진행중 입니다.
취약점 평가, 취약점 조치 자동 분석 및 패치를 통해 기업의 보안 인력 부족을 해소합니다.
파인더갭에서 실시하는 버그바운티는 두 가지로 나눌 수 있습니다.
1️⃣ Public 버그바운티 기존 모의 해킹 대비 다수의 보안 전문가가 점검에 참여하여, 짧은 시간 안에 많은 취약점을 발견할 수 있어 효율적입니다.
2️⃣ Private + Virtual 버그바운티 가상환경 취약점 점검은 실제 서비스에 영향이 없어, 중요 취약점이 실제 버그바운티 대비 월등히 많이 발견되었습니다. (중요 취약점 : 시스템 장악, 서비스 마비, 결제금액 조작, 개인정보 유출 등...)
파인더갭의 버그바운티를 도입해야 하는 이유⁉
버그바운티를 대비해야 글로벌 보안 전문가의 부족 현상 심화 ✔ 전 세계적으로 보안 전문가의 부족 현상은 나날이 증가하고 있습니다.😣
글로벌 사이버 공격 현황 ✔ 전 세계적으로 사이버 공격은 지속 증가하고 있습니다.
보안 전문 인력 부족 ✔ 온라인 사업체들이 필요로 하는 보안 전문 인력을 확보하기가 어렵습니다. 그 와중에 심각한 해킹사고의 비율은 나날이 증가하고 있습니다.
파인더갭은 더 나은 보안 문화를 함께 만드는 기업입니다. 크라우드 소싱을 통해 문제점을 찾고 해결하고 공유하여 고객에게 보안을 쉽고 안심할 수 있게 제공해 드리고자 합니다.
개인정보 탈취 / 권한 탈취 / 결제금액 조작 / 포인트 무한 획득 등의 취약점을 사전에 발굴하여 조치할 수 있도록 가이드 함으로써 사회구성원의 정보보호와 IT 서비스의 안전한 발전을 지원하고 있습니다.
[궁금증 해결] 💬
1. 버그바운티를 진행하면 위험하지 않나요?
아니요, 서비스는 항시적으로 열려있고 이미 누구에게나 공격당할 위험이 있습니다. 또한 제보된 리포트들로 직원들에게 최신 보안 공격 동향 교육으로 방어 전략을 세울 수 있어 장기적으로 보안성을 향상할 수 있습니다.
2. 참여하는 윤리적 해커는 믿을 수 있나요?
버그바운티 프로그램에는 여러 종류의 프로그램이 있습니다. Private의 경우 윤리적 해커들에게 NDA(비밀 유지 서약)을 받음과 동시에 PASS 인증, 신분증 인증 등 4단계에 걸쳐 높은 인증을 수행합니다.
3. 취약점을 블랙마켓에 팔 수도 있지 않나요?
버그바운티 특성상 여러 명의 윤리적 해커가 참여하기 때문에 취약점 발견자가 보고하지 않는다고 하더라도, 다른 인원이 발견하여 보고할 가능성이 높습니다. 또한, 잠재된 취약점이 이미 존재하고 있다면 인지하지 못하는 사이 취약점이 악용될 걱정을 하는 것보다 빠르게 식별하고 조치할 수 있도록 대처하는 것이 현명합니다.
4. 윤리적 해커가 취약점을 찾지 않으면, 비용만 지불되는 것이 아닌가요?
그렇지 않습니다, 윤리적인 해커가 얼마나 시스템에 접속하여 진단을 하고 있는지 VDI/VPN 접속 이력을 통해 확인하실 수 있습니다. 많은 인력이 많은 시간을 들여 취약점을 찾지 못해 안정화된다면 더 많은 인력을 투입하기 위해 이벤트를 열거나 보상금을 올려 참여를 독려합니다.
파인더갭의 목표✨
👍🏻 파인더갭은 그동안 파인더갭의 버그바운티를 경험한 고객에게 만족스러운 결과를 제공하였습니다.
이 경험을 바탕으로 앞으로는
회사의 안전을 지키는 보안 전문가가 필요하신가요? 아니면, 우리 회사도 버그바운티 도입이 가능한지 궁금하신가요? 파인더갭에 문의해주세요 💚
