# 버그바운티 행사 제안 ## 1. 제안 배경 최근 북한발 해킹 공격 사례가 큰 이슈가 되고 있습니다. 한국원자력연구원 침해사고에 이어 한국항공우주산업(KAI)와 대우조선해양 등 국가 주요 산업체가 해킹 공격을 받은 사실이 있습니다. 한국원자력연구원의 경우 가상사설망(VPN) 취약점 공격을 시작으로 내부망에 침투한 것으로 밝혀졌습니다. 이처럼 사이버 보안 문제의 시작은 보안 취약점으로부터 시작되는 경우가 많습니다. 따라서 조기에 취약점을 발견하고 제거하는 것이 중요하다고 할 수 있습니다. ## 2. 제안 내용 저희는 최근 국내의 화이트해커와 보안 취약점을 해결하고자 하는 업체를 연결해주는 버그 바운티 플랫폼 '**버그캠프**'를 오픈했습니다.[1] 이에 CCE 행사의 소규모 이벤트로 **버그 바운티 이벤트를 제안**합니다. 대전 소재의 참여를 희망하는 연구기관을 대상으로 버그바운티 행사를 진행한다면 크라우드 소싱된 다양한 전문성의 화이트 해커와 협력하여 국가 연구시설 정보 인프라의 보안 취약점을 발견하고 제거하는 과정에서 큰 사고를 미연에 방지할 것을 기대합니다. ## 3. 참고자료 ### 미 국방부 버그바운티 사례 미 국방부는 해커원 버그 바운티 플랫폼과 협력해 VDP(Vulnerability Disclosure Program) 프로그램을 진행했습니다. 이를 통해 약 3000개의 보안 취약점을 발견하고 수정했습니다. 해당 행사에는 650여명의 화이트 해커가 참여했으며 매우 치명적인 취약점을 100개 이상 발견했습니다. ### EU 오픈소스 버그바운티 사례 유럽 연합(EU) 집행위원회(European Commision)는 회원국 정부의 상호 동의하에 5년 임기로 임명되는 위원들로 구성되어 법령 의결 및 제정의 역할을 합니다. 하트블리드(Heartbleed) 취약점이 오픈 SSL에서 발견된 이후부터 유럽 연합 집행위원회 주도하에 FOSSA(Free and Open Source Software Audit) 프로젝트를 진행하고 있으며 해당 프로젝트에서는 인터넷 전체의 보안을 향상시키는 것을 목표로 해커원 버그 바운티 플랫폼에 오픈소스 프로그램을 지원하고 있습니다. 2019-2020년에는 15개 SW의 버그바운티 프로그램을 시작했으며 지속적으로 확대되는 추세입니다. ### 해외 버그바운티 플랫폼 사례 해외의 버그바운티 플랫폼으로는 HackerOne, BugCrowd, Synack, SafeHats, Intigriti 등이 있으며 플랫폼에 참여한 General Motors는 500명이 넘는 해커의 도움을 받아 약 700개 이상의 취약점을 발견하고 수정한 사례가 있습니다. 해커에게 흥미와 수익성을 보장하고 서비스에 대한 안정성을 높이는 버그 바운티는 매우 합리적인 보안 방법으로 자리잡고 있습니다. ## 4. 링크 - [1] https://www.dailysecu.com/news/articleView.html?idxno=126743