KISA 소프트웨어 취약점 보상 테이블

버그바운티를 하게 만드는 가장 큰 이유가 포상금인데요.

이번 글에서는 그동안 취약점을 신고하며 포상금을 받은 경험을 바탕으로 제 개인적인 생각이 포함된

KISA의 버그바운티 포상금에 대해서 작성해보려고 합니다. 

 

KISA에서는 보급도와 파급도(취약점으로 인한 피해가 발생하거나, 발생할 수 있다고 보여지는 정도)를 기준으로

포상금을 지급하고 있기 때문에 파급도가 없거나 매우 낮은 경우 포상에서 제외될 수 있습니다. 

예시) 다른 취약점과 연계될 수 없는 힙 오버플로우 취약점

 

포상금을 받을 수 있는 취약점의 종류는 크게 3가지로 볼 수 있습니다. 

사용자의 입력없이 발생하는 코드실행 취약점 

사용자의 단순한 입력이 필요한 코드실행 취약점

정보 노출 취약점 등 기타 취약점

 

우선 포상금을 계산하기 전 소프트웨어 보급도 라는 개념이 들어가는데요.

이 부분은 저도 정확하진 않지만, 어느 수치 이상이 되면 모두 같은 값이 주어지는 것 같습니다. 

 

예를 들어 일부 정부 사이트에서 사용하는 소프트웨어와 1금융권에서 사용하는 소프트웨어의 경우 

두개 소프트웨어의 보급도가 일정 이상이기 때문에 같은 취약점이 발생할 경우 같은 포상금이 지급됩니다.

 

사용자의 입력없이 발생하는 코드실행 취약점은 일반적으로 네트워크 패킷만을 전송하여

발생시키는 취약점으로 지금까지 찾아 본적이 없어 제외합니다.

 

사용자의 단순한 입력이 필요한 코드실행 취약점은 보상금으로 200만원을 지급하는 것으로 보이며 

사용자가 단순히 임의 사이트를 접근했을 때 나타나는 취약점이 하나의 예시입니다. 

예시) 사용자를 악성사이트로 접속을 유도하여 임의 코드 실행이 되는 경우

 

위의 취약점들에 특정 보호기능을 끈 상태로 동작할 수 있는 취약점까지 보상하고 있습니다.

이러한 경우 금액은 반토막 나는 것으로 보여집니다.

사용자의 단순한 입력이 필요한 코드 실행 취약점은 200만원을 지급 받았습니다.

그러나 ASLR을 끈 상태가 필요한 코드실행 취약점이라면 100만원을 지급받았습니다. 

예시) ASLR을 비활성화 시킬 경우 코드 실행이 되는 경우

 

 

정보노출 취약점에 대해서는 아마도 위의 코드실행 취약점이 구분된 것 처럼 

사용자의 입력필요 여부에 따라 금액이 나뉘겠지만 제가 발견한 취약점은 사용자의 입력이 필요한 취약점뿐이여서 

5만원, 10만원, 50만원 다양하게 받았습니다. 

 

노출되는 정보가 얼마나 중요도가 있는지에 대해서 보상금이 나뉘는 것으로 보입니다.

예시) 사용자명 스캔, 사용자 디렉토리 스캔, 중요 파일 탈취(공인인증서 등), 비밀번호 브루트포싱

 

아직 버그바운티를 시작하지 않으셨다면 이 글이 버그바운티를 시작하게 만드는 글이 되기를 바랍니다. :)