안녕하세요 www. 한국데이터복구센터 .com 오늘도 IT관련 공지사항을 알려드리겠습니다.
한국인터넷진흥원(KISA)은 여러 기업과 공동으로 운영하면서 소프트웨어(SW) 취약성을 신고하면 포상금을 지급하는 제도를 실시하고 있다는데, 여러분은 알고 계신가요?
이중에서 동의해야 할 사항에 대해 알려드리려고 합니다.
● 취약점 보상 제외사항 (2019, 06, 24 개정) 신고 당시, 보안 업데이트가 되지 않은 소프트웨어 중 실제 공격에 악용될 수 있는 점에 대해 보상금이 지급됩니다.
이하의 경우는 포상 및 평가 대상에서 제외해, 일반 신고로 수리되거나 별도의 안내 없이 내부 종료될 수 있습니다.- 실제 서비스 중인 웹사이트나 시스템(서버, 네트워크, 보안장비 등)에 정보통신서비스 제공자의 동의를 얻지 않고 정당한 접근권한이 없거나 허가된 접근권한을 넘어 발굴하는 행위는
정보통신망 침입행위로 간주될 수 있으므로 평가 및 포상 대상에서 제외되며, 법에 의해 처벌을 받을 수 있습니다.
(정보통신망 이용촉진 및 정보보호 등에 관한 법률, 제48조제1항, 제71조제1항, 제9호 및 제2항 참고)
※ 서비스 발굴을 허용하는 공동운영회사의 경우
– 타인이 발견한 내용, 이미 공개된 부분, 제조사 폐업, 단종 제품 등 보안 업데이트를 개발할 수 없는 제품의 경우.
– 제조사에서 먼저 신고한 내용, 타 대회 및 배그바운티에 신고, 포상된 내용일 경우
출저 한국인터넷진흥 원 – 동작에 필수 요소(OS, 프레임워크 등) 보안 업데이트를 실행할 때 발견되지 않거나 이를 변경하지 않으면 발생하지 않는 경우
– 사용자의 극단적인 개입이 있어야 악용될 수 있는 점 (레지스트 수정 등)
– 신고된 정보가 허위 또는 과장되거나 불명으로 파악되지 않고 가능성만 제시되어 완벽하지 않은 경우
– 발생할 수 있는 피해가 매우 적거나 공격자의 측면에서 신고되었지만 굳이 악용에 사용할 필요가 없을 정도로 파급도가 매우 낮은 경우
– 개념증명코드(Proof Of Concept Code) 제공이 없는 신고
– 신고서 동의 관련 내용을 임의로 변조
-정보에 대한 신고자, 저작권 행사 등을 명시
– 정부지원사업(정부예산이 투입된 연구과제 또는 프로젝트)을 통해 발굴된 경우(단, 명예의 전당에는 게시)
– 모바일 딥 링크(Deep Link)
●취약점 정보 활용 및 비밀 유지·신고된 것은 포상관령 평가, 보완한 제품(보안 업데이트) 개발을 위해 활용포상은 비공개 부분을 대상으로 하며(공개된 취약점 제외) 신고 후에도 다음과 같이 어떠한 목적이라도 KISA를 제외한 제3자(제조업체 포함)에게 공개할 수 없습니다.
– KISA 포상 취약점 : 제조사 보안패치일로부터 120일(4개월) 이전 외부공개 불가
– 공동운영기업 포상 취약점: 영구공개 불가
신고서에 작성한 내용이 사실과 다르거나 KISA를 제외한 제3자에게 공개한 (외부 컨퍼런스 발표 등) 경우 비밀유지의무 등을 위반한 사실이 밝혀질 경우 다음과 같은 불이익을 받을 수 있습니다.
– 사실확인일로부터 1년간 평가 및 포상 대상에서 제외 – 해당 취약점으로 이미 포상받은 경우 취소 및 전액 회수 및 법적 대응
●보안 취약점 신고 접수를 위한 개인정보 수집·이용
1. 개인정보의 수집·이용목적으로 수집하는 개인정보는 신고확인을 위한 목적으로만 사용되며, 관련 담당자를 제외하고는 함부로 열람할 수 없습니다.
2. 수집하려는 개인 정보 항목 한국 인터넷 진흥원은 개인 정보 보호 법 제15조에 근거한 개인 정보 수집·이용 시에 본인의 동의를 받아야 하는 정보를 수집하고 있습니다.
수집·이용목적에 의해서 행하고 있는 항목은 이하와 같습니다.- 필수항목 : 이름, 이메일, 연락처
3. 개인정보 보유 및 이용기간의 개인정보는 ‘한국인터넷진흥원 민원처리 등에 관한 규칙’에 따라 3년간 보유했다가 즉시 파기합니다.
약간 어려운 부분이 있을거라고 생각해. 할 수 있을지 모르겠지만 필요한 부분이라 방법이 없어요.
앞으로도 더 좋은 유익한 내용으로 찾아뵙겠습니다.
항상 개인 보안에 신경 쓴다는 걸 잊지 마세요.