정보보호학회지 (Review of KIISC)

한국정보보호학회 (Korea Institute of Information Security and Cryptology)
권호 표지

기업 제품의 보안 취약점 개선을 위한 보상제 동향

  • 유동훈 ((주)아이넷캅 스마트 플랫폼 보안 기술 연구소) ;
  • 노봉남 (전남대학교 대학원 시스템 보안 연구 센터)
  • 발행 : 2018.04.30
PDF 다운로드
⟨ 이전 논문 다음 논문 ⟩

초록

최근 새로운 플랫폼과 인터넷 환경의 급속한 변화로 인해 소프트웨어가 다양화되면서 보안 위협도 나날이 증가하고 있어 보안 취약점에 대한 효과적인 대응 방안 마련이 주요 쟁점으로 대두되고 있다. 해외 주요 소프트웨어 벤더사의 경우 보안 취약점에 체계적으로 대응하기 위해 설계 단계에서 보안을 적용하는 사례가 알려져 있지만 해외와 국내 소프트웨어 개발 생태계의 환경적 차이점으로 말미암아 동일한 방식을 일률적으로 적용하는 것은 많은 어려움이 따른다. 이번 논문에서는 기업 제품의 보안 취약점을 개선하기 위한 국내외 사례를 통해 소프트웨어 개발 시 설계에서 배포단계까지 각 단계별 취약점 발굴 활동의 유용성과 배포 후 취약점 발굴 인력의 집단지성을 활용하는 보안 취약점 보상제도의 동향에 대해 설명하고자 한다.

키워드

참고문헌

  1. CVEdetails, https://www.cvedetails.com/
  2. GFI Blog, "2015's MVPs - The most vulnerable player"
  3. Microsoft, "Security Development Lifecycle", http://www.microsoft.com/en-us/sdl/
  4. Steve Lipner, Michael Howard, "The Trustworthy Computing Security Development Lifecycle", Microsoft Corporation, Mar 2005.
  5. NVD DB, https://nvd.nist.gov/
  6. Secunia, "Secunia Yearly Report 2011, Vulnerabilities Are Resilient", P.4-P.11, 2012.
  7. RedHat Security Blog, "The Source of Vulnerabilities, How Red Hat finds out about vulnerabilities", Oct 2014.
  8. Heartbleed bug, http://heartbleed.com/
  9. OpenSSL CCS Injection bug, http://ccsinjection.lepidum.co.jp/
  10. Trustwave, "Linux trailed Windows in patching zero-days in 2012, report says", 2012.
  11. Matthew Finifter, Devdatta Akhawe, and David Wagner, "An Empirical Study of Vulnerability Rewards Programs", 2013.
  12. Google, "Google Vulnerability Reward Program (VRP) Rules"
  13. Facebook, "Bug Bounty Program"
  14. Microsoft, "Microsoft Bounty Programs"
  15. LinkedIn's Security Blog, "LinkedIn's Private Bug Bounty Program: Reducing Vulnerabilities by Leveraging Expert Crowds"
  16. Samsung "SMART TV BUGBOUNTY PROGRAM"
  17. KISA, "S/W 신규 보안 취약점 신고 포상제"
  18. Line, "LINE Security Bug Bounty Program"
  19. We Do Hack, http://wedohack.appspot.com/
  20. HP Security Research Blog, "There and back again: a journey through bounty award and disclosure"
  21. 김형열.김태성, "취약점 마켓 도입 영향요인에 대한 탐색적 연구: 화이트해커 중심으로", 2016 한국경영정보학회 춘계학술대회, 한국경영정보학회, 2016.
  22. 홍준호, 유현우, "화이트 해커 양성 및 활성화 방안에 대한 연구", 한국법학회, 법학연구 제17권 제4호(통권 68호), 2017.
  23. Bugcrowd, "Vulnerability Disclosure & Bug Bounty Programs"
  24. HackerOne, "Bug Bounty, Vulnerability Coordination"
  25. Synack, "Penetration Testing & Private Bug Bounty"
  26. Cobalt Labs, "Cobalt Bug Bounty Program"
  27. Zerocopter, "Vulnerability Disclosure Policy"