home
💰

인티그레이션 버그 바운티 제도

프로그램 소개

인티그레이션은 자사 웹과 앱 서비스의 보안 취약점을 사전에 발굴하고 조치하기 위해 버그바운티 프로그램을 운영하고 있습니다. 외부 전문가들의 참여로 제품/서비스의 보안 취약점을 찾아내고, 발견된 취약점에 대해 적절한 포상을 제공하는 프로그램입니다.
보안 전문가가 제출한 취약점의 가치를 인정하고, 내부 기준에 따른 포상금 지급 및 발견된 문제는 신속하게 수정, 조치하기 위해 노력합니다. 또한, 보안 전문가와 긴밀한 관계 유지를 통해 인티그레이션 서비스를 더욱 안전하게 제공할 수 있도록 지속적인 소통과 협력을 약속합니다.
본 버그바운티 제도는 회사의 정책상 언제든 변경될 수 있습니다.

처리절차

인티그레이션 버그바운티 프로그램으로 신고된 보안 취약점은 다음과 같은 내부절차에 따라 처리됩니다.
절차
처리항목
접수
버그바운티 홈페이지나 전용 이메일을 통해 취약점 신고를 접수합니다.
분석
• 인티그레이션 보안 담당자가 신고 내용을 기반으로 취약점을 분석하고 서비스 영향도를 파악합니다. • 취약점이 이미 조치중이거나 중복 신고된 취약점인지 확인합니다.
평가
• 신규 취약점은 분석결과와 내부기준에 따라 위험도를 평가하고 포상금액을 결정합니다. • 취약점에 영향받는 서비스에 대한 수정 및 조치를 수행합니다
알림
• 분석 및 평가 결과에 따른 포상 유무를 안내합니다. • 포상 범위 밖이거나 중복된 취약점은 포상제외 사유를 안내합니다.
포상
최종 평가결과 상세 안내 및 포상금 지급을 위한 동의서 작성을 요청합니다.

적용 범위

인티그레이션 버그바운티 프로그램은 아래 서비스를 대상으로 합니다.
명시된 서비스 이외 대상으로 하는 취약점 발굴 행위는 지양하여 주시기 바라며, 포상 대상에서도 제외되는 점 참고하여 주시기 바랍니다.

대상 제품/서비스

서비스
타입
도메인
메디스트림 커뮤니티
모바일앱/웹, 웹, API
medistream.co.kr
메디스트림 마켓
모바일앱/웹, 웹, API
market.medistream.co.kr
메디스트림 멤버스
모바일 웹, 웹, API
members.medistream.co.kr
린다이어트
모바일앱, 웹, API
leandiet.co.kr
린다이어트 차트
웹, API
chart.leandiet.co.kr
실손 조회
웹, 앱, API
insudesk.medistream.co.kr
메시지 전송
웹, API
message.medistream.co.kr

취약점 유형

설계와 구현상의 문제로 기밀성과 무결성에 영향을 주는 취약점으로 실제 공격에 악용될 수 있는 취약점에 한정됩니다. 따라서 포상 대상이 되는 취약점의 일반적인 예시는 아래와 같습니다.
OWASP 상위 10대 웹 취약점(XSS, 동적파일 포함 등)
서버 구성 오류
민감 데이터 노출
부적절한 인증/인가
원격 코드 실행
서버 파일 업로드 후 실행
권한 상승 및 우회
다수의 개인정보 노출
허용되지 않은 리소스 접근
Buffer Overflow (BOF)

포상제외 유형

신고 시점에 재현되지 않거나 회사가 이미 인지하고 있던 취약점
Reflected XSS, Self XSS
Sandbox 도메인에서 발생하는 XSS
회원 정보 및 관리자 기능 외에서 발생하는 CSRF
증명 없이 가능성만 제시한 경우
이미 공개적으로 알려진 취약점
메일 서버의 SPF, DMARC, DKIM 정책
URL Redirection
모바일 딥링크(DeepLink) 취약점
서버, 클라이언트 서비스 거부 공격 (DoS)
게시물, 댓글, 메시지 대량 반복 작성
타인의 디바이스에 물리적 접근을 통해 공격 가능한 취약점
루팅 또는 탈옥된 디바이스에서 발생하는 취약점
지원기간이 만료된 브라우저 또는 플랫폼에서 발생하는 취약점
누락된 HTTP 보안헤더
SSL/TLS Cipher Suites 또는 Protocol Version 관련 취약점
URL 직접 입력을 통해 타인의 이미지, 동영상 등 정적 자원에 접근
내부 IP, 도메인 유출
버전 정보, 에러 메시지, 단순 Status 정보 노출
패스워드, 세션쿠키, 인증토큰 관련 보안 정책
DLL Hijacking
동일한 내용의 취약점을 여러 접점에서 찾았을 경우, 한 건만 인정
취약점으로 인해 발생할 수 있는 피해가 매우 미미하여 파급도가 매우 낮은 취약점
과도한 사용자 개입이나 전제를 기반으로 한 취약점
그 외 보안 위험이 없는 버그

포상 정책

포상금은 취약점의 위험도와 발굴 난이도 및 보고서에 기술된 내용등을 종합적으로 검토하여 책정합니다.
포상금은 최소 5만원(40$) 에서 200만원(1600$) 까지 책정됩니다.
CVSS v3 기준으로 평가된 security level 별 포상금은 아래와 같습니다.
CVSS Security Level
포상금
비고
CRITICAL (9.0~)
1M KRW (800$)
최대 누적 보상금 2M KRW (1600$)
HIGH (7.0~8.9)
0.5M KRW (400$)
MEDIUM (4.0~6.9)
0.3M KRW (250$)
LOW (0.1~3.9)
0.1M KRW (80$)
포상금 수령에 필요한 은행 계좌는 국내외 은행에서 발급된 계좌여야 하며, “회원” 본인명의의 계좌로 한정합니다.
추가 포상 - zero day 취약점 보고인 경우 20% 추가 포상

취약점 신고 접수 안내

전용 이메일(security@integrationcorp.co.kr)으로 아래의 상세 내용 전송해주시기 바랍니다.
취약점 개요
재현 절차
증거 자료
영향 범위
제안 대책
cvss v3 점수
신고 접수된 건은 절차대로 진행되며, 상세한 사항은 건별로 직접 알려드립니다.

윤리 규정

인티그레이션 버그바운티 프로그램은 비공개 원칙으로 운영됩니다. 본 프로그램을 통해 알게된 취약점 및 취약점을 통해 알게된 일체의 정보를 제3자에게 제공, 공개 또는 누설하는 등 위반 시 포상 대상에서 제외되고, 불이익을 받을 수 있습니다.
허용되는 활동: 포트 스캔, 취약점 테스팅, 시나리오 재현 등
금지되는 활동: 시스템 해킹, 서비스 방해, 데이터 손상/유출, 악의적 공격 시도
데이터 접근 제한: 고객 데이터를 포함한 실제 운영 데이터 접근 금지
참여자는 보안 취약점 분석 과정에서 개인 정보 침해, 데이터 손상, 서비스 품질 저하를 막기 위해 노력을 기울여야 합니다
참여자는 보안 취약점 대응을 위한 충분한 시간과 정보를 인티그레이션에 제공해야 합니다
참여자는 발견한 보안 취약점과 관련된 내용을 공개하지 않아야 합니다
참여자는 합의하지 않는 사용자의 데이터에 접근하지 않아야 합니다

법적 고지

프로그램 참여를 위해서는 NDA(비밀유지협약) 체결 필수
회사가 소유한 지적재산권 및 기타 권리 침해 행위 금지
관련 법규 위반 시 제재 조치 가능