2017년 상반기 LINE Security Bug Bounty Program 결과

대상 확대에 대하여

안녕하세요. LINE에서 보안 업무를 맡고 있는 이명재(MJ)라고 합니다.

이번 블로그에서는 2017년 상반기(1월 1일~6월 30일) 동안의 LINE Security Bug Bounty Program을 뒤돌아보며, 여러분께 그 결과를 소개하려고 합니다.
이 프로그램은 LINE이 제공하는 서비스에 잠재적으로 존재하는 취약점에 대해 외부의 보안 리서처분들로부터 리포트를 받아 가능한 빨리 문제점을 수정함으로써 더욱 안전한 서비스를 제공하는 것을 목적으로 하고 있습니다.

또한 ‘LINE Security Bug Bounty Program’이라는 이름으로 상시운영을 개시(2016년 6월 2일)한 이후, LINE 서비스의 성장에 발맞추어 2017년 4월 10일부터 LINE의 Chrome 버전, Windows 10 Mobile 버전과, LINE STORE, LINE NEWS, LINE MUSIC, LINE LIVE의 각 Web 사이트까지 프로그램 대상을 확대 추가했습니다.

https://linecorp.com/en/pr/news/en/2017/1713

취약점 접수폼: https://bugbounty.linecorp.com/apply/

프로그램 이용규약:
https://bugbounty.linecorp.com/en/terms_of_use/

프로그램 FAQ: https://bugbounty.linecorp.com/en/faq/

접수 상황

취약성 접수 상황은 다음과 같습니다.

일별/취약점별 접수 상황

이번 상반기(2017년 1월 1일부터 6월 30일까지) 기간 동안 LINE Security Bug Bounty 접수폼을 통해 총 96건이 접수되었습니다. 아래의 [그림 1]은 일별(주별) 접수 건수, 접수된 취약점 비율을 그래프로 표현한 것입니다.

  • 대상 확대(4월 10일) 전의 접수 건수: 40건(1월 1일~4월 9일)
  • 대상 확대(4월 10일) 후의 접수 건수: 56건(4월 10일~6월 30일)

[그림 1] 일별(주별) 접수 건수, 접수된 취약점 비율

국가별 접속

이번에 접수된 96건 중 한국과 다른 국가에서 89건, 일본에서 7건이 접수되었습니다. 아래 [그림 2]는 상시운영 기간 동안 웹 사이트에 접속한 국가별 접속 비율인데 일본뿐만 아니라 태국, 대만, 인도네시아 등 해외에서도 많은 관심이 있음을 알 수 있습니다. LINE이 글로벌에서 큰 인기를 얻고 있기 때문에 LINE Security Bug Bounty Program 또한 작년과 비교해 인지도가 향상되고 있는 듯합니다.

[그림 2] 국가별 접속 비율

심사 과정과 결과

심사 과정

접수된 내용은 1차, 2차로 나누어 심사를 진행했습니다. 심사는 지난 번 블로그에서도 소개한 적이 있습니다. 1차, 2차 심사에 통과하면 취약점으로 인정해 보상금이 지불되며, Hall of fame(명예의 전당)에 보고자명, 취약점 카테고리 등이 공개됩니다.

심사 단계는 다음과 같습니다.

1st ACCEPT: 취약점 보고의 제출 자료로써, 심사가능으로 판정된 상태입니다.
1st REJECT: 취약점 보고의 제출 자료로써, 심사불가로 판정된 상태입니다.
2nd ACCEPT: 보고 내용이 상세히 조사되어 취약점으로 인정된 상태입니다.
2nd REJECT: 보고 내용이 상세히 조사되어 취약점으로 인정되지 않은 상태입니다.
COMPLETE: 보상금 지불이 완료된 상태입니다.

심사 결과

이번 프로그램에서는 XSS(Cross-site Scripting), CSRF(Cross-Site Request Forgery) 등 총 20건이 취약점으로 인정되었습니다.

심사 결과는 Hall of fame 페이지에서 확인할 수 있으며 Hall of fame List 페이지 갱신 상황은 이 페이지에서 공지하고 있습니다.

2017년 상반기에 발생한 보상금은 총 29,000 달러(USD)입니다. 아래 [그림 3]은 보상금의 국가별 지급 비율입니다.

[그림 3] 보상금의 국가별 지급 비율

심사 결과, 이용규약상 프로그램 대상 범위가 아니기 때문에 정식으로 인정되지는 않았지만 LINE에 유익한 정보로 판단된 것들은 별도로 분류하여 보상금을 지불했으며, Special Contributors라는 항목으로 2017년 상반기에는 11명을 공개하였습니다.

현재까지의 통계 및 보상금 지불의 흐름

현재까지의 통계

2015년
(프로그램 실시)
2016년
(상시 운영 개시)
2017년
(프로그램 대상 확대)
실시기간 8월 24일~9월 23일 6월 2일~12월 31일 1월 1일~6월 30일
접수 건수 194건
(한국 포함 타국가: 105, 일본: 89)
97건
(한국 포함 타국가: 82, 일본: 15)
96건
(한국 포함 타국가: 89, 일본: 7)
보상금 대상의 취약점 수 14개 13개 20개
hall of fame 8명 3명 3명
special contributors 9명 8명 11명
발생한 보상금 44,000 달러(USD) 27,000 달러(USD) 29,000 달러(USD)

보상금 지불의 흐름

LINE Security Bug Bounty 프로그램에 보고한 내용이 취약점으로 인정이 되면 보상금을 지불합니다. 보상금 지불 과정은 다음과 같습니다.

  1. 보고자가 취약점을 보고한다.
  2. LINE 담당자가 보고 내용을 조사한다.
  3. 보고된 내용이 취약점으로 인정되면, 보상금에 대한 안내를 실시한다.
  4. 보고자가 보상금 지불에 동의한다.
  5. 보고자가 보상금 지불에 필요한 정보를 제출한다.
  6. LINE 담당자가 제출한 정보와 서류 확인을 진행한다.
  7. LINE에서 보상금을 지불한다.

상세한 내용은 https://bugbounty.linecorp.com/en/faq/의 Q12를 참고합니다. 참고로, 2017년 상반기에 보상금 안내부터 상금지불까지 걸린 평균시간은 52일입니다.

마지막으로

여러분의 많은 관심과 제보 덕분에 LINE은 LINE Security Bug Bounty Program을 통해 여러 가지 취약점을 조기에 찾아 개선할 수 있었습니다. 발견된 취약점들은 모두 수정하여 반영된 상태이며, 사용자분들께서는 LINE 서비스를 더욱 안전하게 이용하실 수 있습니다.

또한 앞서 설명했습니만, 2017년 상반기에는 LINE 서비스의 확장에 발맞춰 프로그램 대상을 확대했습니다. LINE Security Bug Bounty Program은 LINE의 보안 리스크를 줄일 수 있는 프로그램으로서 더욱 양질의 프로그램으로 확장, 발전시키도록 노력하겠습니다.

LINE Security Bug Bounty Program 사이트에서는 상시로 취약성 보고가 가능하므로, 앞으로도 여러분의 많은 참여를 부탁드립니다.

이전 블로그 포스트는 아래 링크를 참고해주시기 바랍니다.

Related Post