프로그램 소개
인티그레이션은 자사 웹과 앱 서비스의 보안 취약점을 사전에 발굴하고 조치하기 위해 버그바운티 프로그램을 운영하고 있습니다. 외부 전문가들의 참여로 제품/서비스의 보안 취약점을 찾아내고, 발견된 취약점에 대해 적절한 포상을 제공하는 프로그램입니다.
보안 전문가가 제출한 취약점의 가치를 인정하고, 내부 기준에 따른 포상금 지급 및 발견된 문제는 신속하게 수정, 조치하기 위해 노력합니다. 또한, 보안 전문가와 긴밀한 관계 유지를 통해 인티그레이션 서비스를 더욱 안전하게 제공할 수 있도록 지속적인 소통과 협력을 약속합니다.
본 버그바운티 제도는 회사의 정책상 언제든 변경될 수 있습니다.
처리절차
인티그레이션 버그바운티 프로그램으로 신고된 보안 취약점은 다음과 같은 내부절차에 따라 처리됩니다.
절차 | 처리항목 |
접수 | 버그바운티 홈페이지나 전용 이메일을 통해 취약점 신고를 접수합니다. |
분석 | • 인티그레이션 보안 담당자가 신고 내용을 기반으로 취약점을 분석하고 서비스 영향도를 파악합니다.
• 취약점이 이미 조치중이거나 중복 신고된 취약점인지 확인합니다. |
평가 | • 신규 취약점은 분석결과와 내부기준에 따라 위험도를 평가하고 포상금액을 결정합니다.
• 취약점에 영향받는 서비스에 대한 수정 및 조치를 수행합니다 |
알림 | • 분석 및 평가 결과에 따른 포상 유무를 안내합니다.
• 포상 범위 밖이거나 중복된 취약점은 포상제외 사유를 안내합니다. |
포상 | 최종 평가결과 상세 안내 및 포상금 지급을 위한 동의서 작성을 요청합니다. |
적용 범위
인티그레이션 버그바운티 프로그램은 아래 서비스를 대상으로 합니다.
명시된 서비스 이외 대상으로 하는 취약점 발굴 행위는 지양하여 주시기 바라며, 포상 대상에서도 제외되는 점 참고하여 주시기 바랍니다.
대상 제품/서비스
서비스 | 타입 | 도메인 |
메디스트림 커뮤니티 | 모바일앱/웹, 웹, API | medistream.co.kr |
메디스트림 마켓 | 모바일앱/웹, 웹, API | market.medistream.co.kr |
메디스트림 멤버스 | 모바일 웹, 웹, API | members.medistream.co.kr |
린다이어트 | 모바일앱, 웹, API | leandiet.co.kr |
린다이어트 차트 | 웹, API | chart.leandiet.co.kr |
실손 조회 | 웹, 앱, API | insudesk.medistream.co.kr |
메시지 전송 | 웹, API | message.medistream.co.kr |
취약점 유형
설계와 구현상의 문제로 기밀성과 무결성에 영향을 주는 취약점으로 실제 공격에 악용될 수 있는 취약점에 한정됩니다. 따라서 포상 대상이 되는 취약점의 일반적인 예시는 아래와 같습니다.
•
OWASP 상위 10대 웹 취약점(XSS, 동적파일 포함 등)
•
서버 구성 오류
•
민감 데이터 노출
•
부적절한 인증/인가
•
원격 코드 실행
•
서버 파일 업로드 후 실행
•
권한 상승 및 우회
•
다수의 개인정보 노출
•
허용되지 않은 리소스 접근
•
Buffer Overflow (BOF)
포상제외 유형
•
신고 시점에 재현되지 않거나 회사가 이미 인지하고 있던 취약점
•
Reflected XSS, Self XSS
•
Sandbox 도메인에서 발생하는 XSS
•
회원 정보 및 관리자 기능 외에서 발생하는 CSRF
•
증명 없이 가능성만 제시한 경우
•
이미 공개적으로 알려진 취약점
•
메일 서버의 SPF, DMARC, DKIM 정책
•
URL Redirection
•
모바일 딥링크(DeepLink) 취약점
•
서버, 클라이언트 서비스 거부 공격 (DoS)
•
게시물, 댓글, 메시지 대량 반복 작성
•
타인의 디바이스에 물리적 접근을 통해 공격 가능한 취약점
•
루팅 또는 탈옥된 디바이스에서 발생하는 취약점
•
지원기간이 만료된 브라우저 또는 플랫폼에서 발생하는 취약점
•
누락된 HTTP 보안헤더
•
SSL/TLS Cipher Suites 또는 Protocol Version 관련 취약점
•
URL 직접 입력을 통해 타인의 이미지, 동영상 등 정적 자원에 접근
•
내부 IP, 도메인 유출
•
버전 정보, 에러 메시지, 단순 Status 정보 노출
•
패스워드, 세션쿠키, 인증토큰 관련 보안 정책
•
DLL Hijacking
•
동일한 내용의 취약점을 여러 접점에서 찾았을 경우, 한 건만 인정
•
취약점으로 인해 발생할 수 있는 피해가 매우 미미하여 파급도가 매우 낮은 취약점
•
과도한 사용자 개입이나 전제를 기반으로 한 취약점
•
그 외 보안 위험이 없는 버그
포상 정책
포상금은 취약점의 위험도와 발굴 난이도 및 보고서에 기술된 내용등을 종합적으로 검토하여 책정합니다.
포상금은 최소 5만원(40$) 에서 200만원(1600$) 까지 책정됩니다.
CVSS v3 기준으로 평가된 security level 별 포상금은 아래와 같습니다.
CVSS Security Level | 포상금 | 비고 |
CRITICAL (9.0~) | 1M KRW (800$) | 최대 누적 보상금 2M KRW (1600$) |
HIGH (7.0~8.9) | 0.5M KRW (400$) | |
MEDIUM (4.0~6.9) | 0.3M KRW (250$) | |
LOW (0.1~3.9) | 0.1M KRW (80$) |
포상금 수령에 필요한 은행 계좌는 국내외 은행에서 발급된 계좌여야 하며, “회원” 본인명의의 계좌로 한정합니다.
추가 포상 - zero day 취약점 보고인 경우 20% 추가 포상
취약점 신고 접수 안내
•
취약점 개요
•
재현 절차
•
증거 자료
•
영향 범위
•
제안 대책
•
cvss v3 점수
신고 접수된 건은 절차대로 진행되며, 상세한 사항은 건별로 직접 알려드립니다.
윤리 규정
인티그레이션 버그바운티 프로그램은 비공개 원칙으로 운영됩니다. 본 프로그램을 통해 알게된 취약점 및 취약점을 통해 알게된 일체의 정보를 제3자에게 제공, 공개 또는 누설하는 등 위반 시 포상 대상에서 제외되고, 불이익을 받을 수 있습니다.
•
허용되는 활동: 포트 스캔, 취약점 테스팅, 시나리오 재현 등
•
금지되는 활동: 시스템 해킹, 서비스 방해, 데이터 손상/유출, 악의적 공격 시도
•
데이터 접근 제한: 고객 데이터를 포함한 실제 운영 데이터 접근 금지
•
참여자는 보안 취약점 분석 과정에서 개인 정보 침해, 데이터 손상, 서비스 품질 저하를 막기 위해 노력을 기울여야 합니다
•
참여자는 보안 취약점 대응을 위한 충분한 시간과 정보를 인티그레이션에 제공해야 합니다
•
참여자는 발견한 보안 취약점과 관련된 내용을 공개하지 않아야 합니다
•
참여자는 합의하지 않는 사용자의 데이터에 접근하지 않아야 합니다
법적 고지
•
프로그램 참여를 위해서는 NDA(비밀유지협약) 체결 필수
•
회사가 소유한 지적재산권 및 기타 권리 침해 행위 금지
•
관련 법규 위반 시 제재 조치 가능