해야 할 사항! (feat. 한국인터넷진흥원 KISA) 소프트웨어(소프트웨어) 취약점 신고 포상제에 동의해야

 안녕하세요 www. 한국데이터복구센터 .com 오늘도 IT관련 공지사항을 알려드리겠습니다.

한국인터넷진흥원(KISA)은 여러 기업과 공동으로 운영하면서 소프트웨어(SW) 취약성을 신고하면 포상금을 지급하는 제도를 실시하고 있다는데, 여러분은 알고 계신가요?

이중에서 동의해야 할 사항에 대해 알려드리려고 합니다.

● 취약점 보상 제외사항 (2019, 06, 24 개정) 신고 당시, 보안 업데이트가 되지 않은 소프트웨어 중 실제 공격에 악용될 수 있는 점에 대해 보상금이 지급됩니다.

이하의 경우는 포상 및 평가 대상에서 제외해, 일반 신고로 수리되거나 별도의 안내 없이 내부 종료될 수 있습니다.- 실제 서비스 중인 웹사이트나 시스템(서버, 네트워크, 보안장비 등)에 정보통신서비스 제공자의 동의를 얻지 않고 정당한 접근권한이 없거나 허가된 접근권한을 넘어 발굴하는 행위는

정보통신망 침입행위로 간주될 수 있으므로 평가 및 포상 대상에서 제외되며, 법에 의해 처벌을 받을 수 있습니다.

(정보통신망 이용촉진 및 정보보호 등에 관한 법률, 제48조제1항, 제71조제1항, 제9호 및 제2항 참고)

※ 서비스 발굴을 허용하는 공동운영회사의 경우

– 타인이 발견한 내용, 이미 공개된 부분, 제조사 폐업, 단종 제품 등 보안 업데이트를 개발할 수 없는 제품의 경우.

– 제조사에서 먼저 신고한 내용, 타 대회 및 배그바운티에 신고, 포상된 내용일 경우

출저 한국인터넷진흥 원 – 동작에 필수 요소(OS, 프레임워크 등) 보안 업데이트를 실행할 때 발견되지 않거나 이를 변경하지 않으면 발생하지 않는 경우

– 사용자의 극단적인 개입이 있어야 악용될 수 있는 점 (레지스트 수정 등)

– 신고된 정보가 허위 또는 과장되거나 불명으로 파악되지 않고 가능성만 제시되어 완벽하지 않은 경우

– 발생할 수 있는 피해가 매우 적거나 공격자의 측면에서 신고되었지만 굳이 악용에 사용할 필요가 없을 정도로 파급도가 매우 낮은 경우

– 개념증명코드(Proof Of Concept Code) 제공이 없는 신고

– 신고서 동의 관련 내용을 임의로 변조

-정보에 대한 신고자, 저작권 행사 등을 명시

– 정부지원사업(정부예산이 투입된 연구과제 또는 프로젝트)을 통해 발굴된 경우(단, 명예의 전당에는 게시)

– 모바일 딥 링크(Deep Link)

●취약점 정보 활용 및 비밀 유지·신고된 것은 포상관령 평가, 보완한 제품(보안 업데이트) 개발을 위해 활용포상은 비공개 부분을 대상으로 하며(공개된 취약점 제외) 신고 후에도 다음과 같이 어떠한 목적이라도 KISA를 제외한 제3자(제조업체 포함)에게 공개할 수 없습니다.

– KISA 포상 취약점 : 제조사 보안패치일로부터 120일(4개월) 이전 외부공개 불가

– 공동운영기업 포상 취약점: 영구공개 불가

신고서에 작성한 내용이 사실과 다르거나 KISA를 제외한 제3자에게 공개한 (외부 컨퍼런스 발표 등) 경우 비밀유지의무 등을 위반한 사실이 밝혀질 경우 다음과 같은 불이익을 받을 수 있습니다.

– 사실확인일로부터 1년간 평가 및 포상 대상에서 제외 – 해당 취약점으로 이미 포상받은 경우 취소 및 전액 회수 및 법적 대응

●보안 취약점 신고 접수를 위한 개인정보 수집·이용

1. 개인정보의 수집·이용목적으로 수집하는 개인정보는 신고확인을 위한 목적으로만 사용되며, 관련 담당자를 제외하고는 함부로 열람할 수 없습니다.

2. 수집하려는 개인 정보 항목 한국 인터넷 진흥원은 개인 정보 보호 법 제15조에 근거한 개인 정보 수집·이용 시에 본인의 동의를 받아야 하는 정보를 수집하고 있습니다.

수집·이용목적에 의해서 행하고 있는 항목은 이하와 같습니다.- 필수항목 : 이름, 이메일, 연락처

3. 개인정보 보유 및 이용기간의 개인정보는 ‘한국인터넷진흥원 민원처리 등에 관한 규칙’에 따라 3년간 보유했다가 즉시 파기합니다.

약간 어려운 부분이 있을거라고 생각해. 할 수 있을지 모르겠지만 필요한 부분이라 방법이 없어요.

앞으로도 더 좋은 유익한 내용으로 찾아뵙겠습니다.

항상 개인 보안에 신경 쓴다는 걸 잊지 마세요.