https://xe1.xpressengine.com/security_bounty_program
XE 신규 보안취약점 신고 포상제 시행 안내라는 글에 따르면, 그동안 KISA를 통해 연락을 취해왔었던 터라 긴밀한 연락이 어려워, 해당 신고자가 공헌자로서 이름을 알리지 못해왔고 이러한 점과 동시에 지속적으로 보안 취약점을 개선해나갈 수 있도록 하기 위해 포상제를 실시한다고 하네요.
접수 대상 취약점과 신고 방법은 위 링크를 참고하시면 됩니다.
-
-
?
그렇군요. 헛점이 있네요..
-
https://www.boho.or.kr/download.do?path=consult&name=160523_Vulnerability_Report(name).hwp&orgName=160523_%EC%B7%A8%EC%95%BD%EC%A0%90_%EC%8B%A0%EA%B3%A0%EC%84%9C_%EC%84%9C%EC%8B%9D.hwp
KISA의 신고서 양식에서 그대로 따온것 같습니다 ㅎㅎ 문장으로 검색하니 구글에 뜨네요. -
아, 템플릿이 있었군요. KISA에서 만든 거라면 이해가 되네요 ㅎㅎ
신고 양식을 보면 아래로 내려갈수록 조건이 상당히 까다로워요. 소스 제출에 대한 가산점도 있고... 무슨 경시대회를 보는 것 같네요 ㅎㅎ 설마 앞으로는 XE 공모전을 보안취약점 신고 포상으로 대체하는 걸까요?
정보통신망법 위반에 대한 경고는 좀 오버한 것 같습니다. 물론 보안 취약점을 확인한답시고 공홈을 마비시켜 버리거나 해서는 안 되겠지만, 해당되는 범위가 분명하지 않아서 신고를 꺼리게 만들 수도 있으니까요. 구글이나 페이스북의 보안취약점 신고 포상 제도를 봐도, 자신과 지인들의 계정을 사용해서 실제 서비스를 대상으로 테스트했다고 페널티를 주거나 고소하는 일은 없습니다. 실제 서비스에 장애를 줄 수도 있는 심각한 취약점일수록 더 빨리 신고하도록 유도하고, 포상도 크게 해야 하지 않을까요?
패치된 버전 발표 후에도 무려 120일간 비밀유지 서약... 정말? XE 개발팀이 패치를 빨리 안 해 주면 무덤까지 비밀로 가져가야 하는 건가요? 보안취약점 연구도 유행을 타기 때문에, 한 사람이 발견한 취약점은 다른 사람도 비슷한 시기에 발견할 가능성이 은근히 높아요. 그래서 너무 기다리면 오히려 더 많은 사람을 위험에 빠뜨리는 결과를 낳습니다. 외국에서는 신고 후 30~60일간 패치되지 않으면 신고자가 먼저 취약점과 패치 방법을 공개해 버려도 정당한 행동이라고 인정하는 것이 보통입니다.
뭐 그래도 국내에서는 거의 처음 시행하는 제도이니, 조심스럽게 시작하는 것도 이해는 되네요. 운영해 보면서 부족한 점이 있으면 개선해 나가시기를 기대해 봅니다.