한국인터넷진흥원(KISA), 신규 취약점 신고 포상제 운영 안내

한국 인터넷 진흥원(KISA)에서 신규 취약점 신고 포상제를 운영한다고 한다.

앞으로 국내에서 취약점 관련 퍼징기술이 좀 더 보편화 되지 않을까 싶다^^

나도 퍼징에 대해서 좀 더 연습해서 하나 타먹어봐야 하는거 아닐까? ㅋㅋㅋㅋㅋㅋ

퍼징(fuzzing)이란? 
- 퍼징(fuzzing, fuzz testing)이란, 소프트웨어에 랜덤 데이터를 입력함으로써 소프트웨어의 조직적인 실패를 유발함으로써
소프트웨어의 보안적 취약점을 찾아내는 것을 의미한다.

비슷한 의미의 용어로 Blackbox Testing, Taint Analysis, BVA(Boundary Value Analysis)등이 있다.

(출처 : 위키백과 - http://ko.wikipedia.org/wiki/%ED%8D%BC%EC%A7%95)

원문보기 : http://www.krcert.or.kr/kor/notice/noticeView.jsp?p_bulletin_writing_sequence=1403

방송통신위원회와 한국인터넷진흥원은 해킹사고에 악용될 수 있는 취약점을 사전에 조치하고 관련 전문가의 취약점 발굴을
활성화하기 위해 신규 취약점 신고 포상제를 운영합니다.

- 참가대상 및 신고접수

■ 참가대상 : 국내외 거주하는 한국인

■ 접수기간 : 10월 8일 이후 상시 접수

■ 신고대상 : 미발표된 신규 보안 취약점으로 소프트웨어 및 웹 솔루션에 대한 취약점 


- 취약점 신고 절차

■ 제출 방법 : 인터넷침해대응센터 홈페이지의 [취약점 신고 코너]에서 신고 양식을 다운받아 작성하여 제출

   ※ 신고양식을 이용하지 않는 기존 방법으로 신고 가능하나, 이 경우 포상금 지급 대상에서 제외됨

■ 접수 진행상황 통지 : 취약점 신고 접수 이후 신고자에게 문자메세지와 이메일로 진행상황 및 안내사항을 통지

■ 신고자 Credit 게시 : 신고자가 원하는 경우 KrCERT 보안공지문에 신고자 이름 게시  

   ※ 신고 양식에 Credit 게시여부를 선택

- 취약점 평가 및 평가 항목

■ 평가위원 : 외부 취약점 전문가를 포함한 평가위원회를 구성하여 취약점 평가

■ 평가일정 : 접수된 취약점을 분기별로 평가하며, 우수 취약점에 대해 최고 500만원의 포상금 지급

   ※ 10~11월에 신고된 취약점은 12월에 평가 및 포상금 지급 예정

■ 평가 항목

   - 취약점 파급도(55) : 취약점 발생 대상의 시장 점유율 및 위험도 등 

   - 취약점 기술 난이도(30) : 취약점 동작 원리 및 구성의 난이도

   - 신고 내용의 완성도(15) : 취약점 재연 방법의 정확성 및 취약점 테스트 환경 등에 대한 구체적인 기술