버그헌팅 기초/종류/구성요소/프로세스 윤리적 해킹에 대하여

버그헌팅과 버그바운티의 차이

 

버그헌팅: 소프트웨어나 앱에서 버그를 찾는 활동 자체

버그바운티: 버그헌팅에 따른 보상 체계

 

 

포상금은 기업과 프로그램에 따라 다르지만

account takeover, remote code execution 같은 취약점이 주로 포상금이 가장 많다

 

버그헌팅의 종류

 

포상금을 제공하지 않고 취약점을 공개하는 정책을 따르는 VDP

포상금을 제공하고 Private, Public 으로 나뉘는 BBP로 나뉜다

 

BBP(Bug Bounty Program)

 

Public: 누구나 참여할 수 있어 취약점을 많이 발견할 수 있고 해당 기업의 서비스 대부분이 범위이다

Private: 인증된 전문가들이 참여하며 특정 제품이나 서비스를 대상으로 해 집중적인 보안 강화가 가능

Invitation-only: 신뢰있는 해커들에게 취약점을 제보받을 확률이 높고 특정 제품이나 서비스를 대상으로 함

 

취약점 공개 정책(VDP)

 

VDP 템플릿

: 취약점 보고를 어디로 할지에 대한 정보/ 어떤 유형의 취약점을 어떻게 보고할지에 대한 정보/ 취약점 보고자가 법적으로 보호받을 수 있는 규정/ 취약점에 대한 보상이나 인정/ 피드백과 프로세스 공개

등의 내용이 템플릿에 포함된다

 

버그바운티 프로세스

 

프로그램 선택

스코프(범위)선택

취약점 탐색

취약점 발굴

리포트 작성, 제출

리포트 리뷰

포상금 수령

 

---

 

윤리적 해킹이란?

 

합법적이고 윤리적인 방식으로 보안 취약점을 찾는 행위

사전동의, 보고의 의무, 비밀 유지, 법적 준수 등의 원칙을 준수해야한다

 

IBM에서 알려주는 윤리 강령은 아래와 같

 

국내에 적용되는 정보통신망 법률을 살펴보자

 

제48조(정보통신망 침해행위 등의 금지) ① 누구든지 정당한 접근권한 없이 또는 허용된 접근권한을 넘어 정보통신망에 침입하여서는 아니 된다. ② 누구든지 정당한 사유 없이 정보통신시스템, 데이터 또는 프로그램 등을 훼손·멸실·변경·위조하거나 그 운용을 방해할 수 있는 프로그램(이하 "악성프로그램"이라 한다)을 전달 또는 유포하여서는 아니 된다. ③ 누구든지 정보통신망의 안정적 운영을 방해할 목적으로 대량의 신호 또는 데이터를 보내거나 부정한 명령을 처리하도록 하는 등의 방법으로 정보통신망에 장애가 발생하게 하여서는 아니 된다. [전문개정 2008.6.13.] 제49조(비밀 등의 보호) 누구든지 정보통신망에 의하여 처리·보관 또는 전송되는 타인의 정보를 훼손하거나 타인의 비밀을 침해·도용 또는 누설하여서는 아니 된다. [전문개정 2008.6.13.]

 

 

다음 포스팅에서는 버그헌팅을 위한 마인드셋, 취약점 정량화에 대해 알아보자