본문내용 바로가기 메인메뉴 바로가기 하단내용 바로가기

S/W 신규 취약점

대검찰청, 경찰청, 인터넷진흥원, 금융기관 등을 사칭하는
피싱사이트, 피싱 문자로 인한 금전적 피해가 발생하고 있습니다.
사이트 접속 시 바로 개인정보를 입력하지 말고 사이트 주소를 확인하시고 주의해 주십시요

S/W 신규 취약점 신고포상제

2012년 10월 부터 소프트웨어 신규 보안 취약점 신고포상제를 실시합니다.
포상금 지급을 위한 평가는 분기별로 실시하며, 분기별 우수 취약점을 선정하여 평가 결과에 따라 최고 500만원의 포상금이 지급됩니다.
신고포상을 원하는 경우 아래의 신고 양식을 다운로드 받아 작성하여, 관련파일에 첨부하여 주시기 바랍니다.

- 참가대상 : 국내·외 거주하는 한국인

- 신고대상 취약점 : '소프트웨어'에 대한 보안 취약점으로 최신버전의 소프트웨어 영향을 줄 수 있는 신규 보안취약점(제로데이 취약점)
※ 기타 자세한 사항은 포상제 FAQ 참조

- 평가 및 포상 일정 : 분기별 평가를 실시하여 포상금을 지급(3, 6, 9, 12월에 평가 및 포상 실시)

- 주의사항 : 실제 서비스 중인 웹사이트나 시스템(서버, 네트워크, 보안장비 등)에 특정 데이터를 전송하여 영향을 줄 우려가 있는 서비스 취약점은 평가 및 포상 대상에서 제외됨은 물론, 법에 의해 처벌 받을 수 있습니다.
(정보통신망 이용촉진 및 정보보호에 관한 법률 제71조 제 10호 및 제40호 제3항)

- 주의사항 :
실제 서비스 중인 웹사이트나 시스템(서버, 네트워크, 보안장비 등)에 특정 데이터를 전송하여 영향을 줄 우려가 있는
서비스 취약점은 평가 및 포상 대상에서 제외됨은 물론, 법에 의해 처벌 받을 수 있습니다.
(정보통신망 이용촉진 및 정보보호에 관한 법률 제71조 제 10호 및 제40호 제3항)

취약점 신고포상제 공동운영사인 한글과컴퓨터, 네이버, 카카오, 카카오뱅크, 네오위즈게임즈, 이스트시큐리티, 이니텍, 잉카인터넷, LG전자, 지니언스, 안랩, 하우리, 엑스블록시스템즈, 블록체인오에스, 글로스퍼는 정보보호 활동을 장려, 정보보호 문화 확산 등 정보보호 분야 발전을 위해 노력하는 기업입니다.
* XE(XpressEngine) CMS 는 자체 취약점 신고 포상제를 운영하고 있습니다.   

신고서 양식(한글) 신고서 양식(워드) 신고포상제 안내문 신고포상제 FAQ 운영 안내서

취약점 포상 제외 사항

취약점 신고포상제는 신고 당시 보안 업데이트가 나오지 않은 소프트웨어 취약점 중 실제 공격에 악용될 경우 다수의 국민에게 피해를 줄 수 있는 건에 대해 포상금을 지급합니다.

단, 아래의 경우 포상 및 평가 대상에서 제외되며, 일반 신고로 접수되거나 별도의 조치 없이 내부 종결될 수 있습니다.
  1. -
    해당 소프트웨어가 동작함에 있는 필수 요소(OS, 프레임워크 등)의 보안업데이트를 수행할 경우, 취약점이 발현되지 않거나, 기본 및 필수 보안 설정 등을 인위적으로 해제, 변경 등을 해야만 발생하는 취약점
  2. -
    타인이 발견한 취약점 또는 이미 일반에게 공개된 취약점 정보
  3. -
    사용자의 극단적인 개입이 있어야 악용될 수 있는 취약점인 경우 포상 제외 (exe 파일 실행, 레지스트리 수정 등)
  4. -
    가능성만 제시된 완벽하지 않은 취약점 정보, 취약점으로 인해 발생할 수 있는 피해가 매우 미미하거나, 공격자 측면에서 신고된 취약점을 굳이 악용에 사용할 필요가 없을 정도로 파급도가 매우 낮은 취약점인 경우 포상 제외
  5. -
    제조사 폐업, 단종제품 등 보안 업데이트 개발이 불가능한 제품인 경우 신고 접수된 정보가 불분명하거나 미약하여 취약점 정보를 파악할 수 없는 경우 포상 제외
  6. -
    신고 접수된 정보가 불분명하거나 미약하여 취약점 정보를 파악할 수 없는 경우
  7. -
    신고서 동의 관련 내용을 임의로 변조하여 신고한 경우
  8. -
    개념증명코드(Proof Of Concept Code) 제공이 없는 신고
  9. -
    허위 또는 과장된 취약점 정보를 담은 신고
  10. -
    신고 취약점 정보에 대한 신고자 저작권 행사 등을 명시할 경우
  11. -
    제조사에 먼저 신고한 취약점, 타 대회 및 타 버그바운티에 신고, 포상된 취약점일 경우
  12. -
    정부 지원 사업*을 통해 발굴된 취약점인 경우(단, 명예의 전당에 게시)
    * 정부 예산이 투입된 연구과제 또는 프로젝트
이용자는 동의를 거부할 수 있습니다. 다만, 이 경우 S/W 신규 취약점 신고 서비스의 이용이 불가능 합니다.
위 사항에 동의 하십니까?

취약점 정보 활용 및 비밀유지

신고된 취약점은 포상 관련 평가, 취약점을 보완한 제품 개발을(보안 업데이트 개발) 위해 활용됩니다.
포상은 비공개된 취약점을 대상으로 하며(공개된 취약점은 포상 대상에서 제외), 신고 후에도 아래와 같이 그 어떠한 목적으로도 KISA를 제외한 제3자(제조사 포함)에게 공개할 수 없습니다.
  1. -
    KISA 포상 취약점 : 제조사가 보안패치 한 날로부터 120일(4개월) 이전에 외부 공개 불가
  2. -
    공동운영사 포상 취약점 : 영구 공개 불가
신고서에 작성한 내용이 사실과 다르게 작성되거나, KISA를 제외한 제3자에게 취약점을 공개한(외부 컨퍼런스 발표 등) 경우, 비밀유지 의무 등을 위반한 사실이 밝혀진 경우 다음과 같은 불이익을 당할 수 있습니다.
  1. -
    사실 확인일로부터 1년동안 평가 및 포상 대상에서 제외
  2. -
    해당 취약점으로 이미 포상 받은 경우 포상 취소 및 지급 포상금 전액 환수 및 법적대응
이용자는 동의를 거부할 수 있습니다. 다만, 이 경우 S/W 신규 취약점 신고 서비스의 이용이 불가능 합니다.
위 사항에 동의 하십니까?

S/W 신규 취약점 신고 접수를 위한 개인정보 수집ㆍ이용

  1. 1.
    개인정보의 수집ㆍ이용 목적
    수집하는 개인정보는 S/W 신규 취약점 신고 확인을 위한 목적으로만 사용되며, 관련 담당자를 제외하고는 함부로 열람할 수 없습니다.
  2. 2.
    수집하려는 개인정보의 항목
    한국인터넷진흥원은 개인정보보호법 제15조에 따라 개인정보의 수집ㆍ이용 시 본인의 동의를 얻어야 하는 정보를 수집하고 있습니다.
    수집ㆍ이용 목적에 따라 수집하고 있는 항목은 아래와 같습니다.
    - 필수항목 : 성명, 이메일, 연락처
  3. 3.
    개인정보의 보유 및 이용 기간
    수집된 개인정보는 “한국인터넷진흥원 민원처리 등에 관한 규칙”에 근거하여 3년간 보유하고 즉시 파기합니다.
이용자는 동의를 거부할 수 있습니다. 다만, 이 경우 S/W 신규 취약점 신고 서비스의 이용이 불가능 합니다.
위 사항에 동의 하십니까?

별표 ( * ) 가 표시된 항목은 필수 입력 항목이므로 반드시 입력해 주십시오.

S/W 신규 취약점 신고
* *
* - -
*
*

※ 첨부파일의 크기는 20MB 이하로 제한됩니다
※ 첨부파일 업로드가 가능한 확장자는 pdf, hwp, xlsx, xls, zip로 제한됩니다
취약점 요약은 4,000 bytes(한글 2,000자)이내로 적어주시고, 자세한 내용은 첨부로 등록하여 주시기 바랍니다.