🏛 Bugbounty, 어떻게 운영할 수 있나요?
사람은 실수합니다. 개발자도 실수를 합니다. 보안 취약점을 피하고자 다양한 기관에서 개발자를 대상 으로 보안 교육을 진행하고 소스 코드 점검 도구와 더불어 모의 침투 테스트를 주기적으로 진행하고 있습니다.
하지만 침투 테스트는 사람이 투입되어 공격자 관점에서의 취약점을 도출해내는 것에 탁월하지만 지속적인 서비스 운영과 더불어 수행되지는 않습니다.
결과적으로, 정말 악의적인 공격자보다 현저히 낮은 시간동안 적은 인원이 취약점을 찾아내야 하는 보안팀의 부담을 줄일 수 없습니다.
대규모의 공격자를 막기 위해서는 대규모의 보안 전문가가 필요합니다.
그렇다면 대규모의 보안전문가가 상시로 보안점검을 할 수 있는 방법은 없을까요??
## **1\. 크라우드 소싱 기반의 버그바운티**
내부의 한정적인 인적자원에 의존한다면, 지금까지와 마찬가지로 대규모의 외부 공격자를 방어하기 어렵습니다. 외부의 인적자원에게 안전하게 도움받고 그에 합당한 보상을 하여 이익을 공유한다면 어떨까요?
버그바운티는 모의 침투테스트의 한계를 해결하는 방법으로 외부 윤리적 해커에게 참여를 장려하기 위해 처음 취약점을 제보한 인원에게 금전적인 보상을 지급함으로써 경쟁 모델을 활용합니다.
## **2\. 버그바운티를 어떻게 운영해야 효율적인가요?**
기업은 버그바운티의 운영을 위해 다양한 윤리적 해커에게 취약점을 제보받고 보상함으로써 효율적인 비용으로 높은 효과를 낼 수 있습니다.
하지만, 이는 버그바운티 운영을 위해 기업보안이 안정화 된 상황에서 시작해야 합니다. 버그바운티는크라우드 소싱 기반으로 대규모의 인원이 참여하는 것이지만, 취약점 관리에 대한 적절한 준비가 되어있지 않은 경우 적합하지 않습니다.
버그바운티를 통해 취약점을 도출하고 관리할 수 있는 역량을 기르기위해 점진적으로 버그바운티를 확대하는 것이 필요합니다.
3. 즉시 버그바운티를 시작할 수 있는 방법
버그바운티를 운영하기 위해서는 범위를 산정하고, 기준을 수립하고, 윤리적해커를 모집하고, 제도를 만들고, 모니터링 시스템을 구축하고, 포상금 지급 방안을 마련하는 등 준비해야 하는 일이 많습니다.
손쉽고 빠르게 버그바운티를 시작하기위해서는 플랫폼에 위탁하는 것도 한가지 방법입니다.
# 🔏 국내 정보보안/개인정보 관련 입법 동향
국내 정보보안/개인정보 관련 법령은 “개인정보 보호법”, “정보통신망법”, 위치정보 보호 이용에 관한 법률”, “신용 정보 이용 및 보호에 관한 법률”, 통신비밀 보호법”, “전자금융 보호법”, 전자 상거래 등에서의 소비자 보호에 관한 법률” 등 너무나 다양합니다.
산업 환경이 변화하여, 법률이 주기적으로 개정됨에 따라 정보보안 법률 동향 파악이 필요하고, 이는 컴플라이언스 인증 등에서도 요구하고 있습니다.
손쉬운 동향 파악을 돕기 위해 파인더갭이 매달 관련 정보를 정리하여 공유드립니다.
▶ <공포된 법령>
23년 10월 공포된 법령은 없습니다
▶ <국회 제출 법률안>
• 「정보통신망 이용촉진 및 정보보호 등에 관한 법률」 일부개정법률안(이인영의원 대표발의 , 2023. 9. 25. 제안)
• 「방송통신발전 기본법」 일부개정법률안(변재일의원 대표발의 , 2023. 9. 26. 제안)
• 「전기통신사업법」 일부개정법률안(변재일의원 대표발의 , 2023. 9. 26. 제안)
• 「지능정보화 기본법」 일부개정법률안(박덕흠의원 대표발의 , 2023. 9. 13. 제안)
• 「국가연구데이터 관리 및 활용촉진에 관한 법률」 제정법률안(정필모의원 대표발의 , 2023. 9. 19. 제안)
• 「의료기기법」 일부개정법률안(강기윤의원 대표발의, 2023. 9. 8. 제안)
• 「저작권법」 일부개정법률안(이인영의원 대표발의, 2023. 9. 25. 제안)
🚨보안 업데이트 안내
각 벤더사가 자사제품에 대한 보안업데이트를 아래와 같이 발표 했습니다.
해당 제품을 보유하고 있는 기업에서는 최신 업데이트를 적용하시는 것이 필요해보입니다 😊
😁 보안업데이트 권고
| 번호 | 제목 | 게시일 |
|---|---|---|
| 1852 | VMware 제품 보안 업데이트 권고 | 2023-10-24 |
| 1851 | SolarWinds 제품 보안 업데이트 권고 | 2023-10-24 |
| 1850 | Cisco 제품 보안 업데이트 권고 | 2023-10-23 |
| 1849 | WordPress 제품 보안 업데이트 권고 | 2023-10-17 |
| 1848 | Cisco 제품 보안 주의 권고 | 2023-10-17 |
| 1847 | MS 10월 보안 위협에 따른 정기 보안 업데이트 권고 | 2023-10-11 |
| 1846 | JetBrains 제품 보안 업데이트 권고 | 2023-10-10 |
| 1845 | Cisco 제품 보안 업데이트 권고 | 2023-10-10 |
| 1844 | Apple 제품 보안 업데이트 권고 | 2023-10-10 |
| 1843 | Cisco 제품 보안 업데이트 권고 | 2023-10-10 |
🔗 출처 : KISA 인터넷 보호나라& Krcert
