LINE Security Bug Bounty Program 2017년도 운영 결과

안녕하세요, LINE에서 보안 업무를 맡고 있는 이명재(MJ)라고 합니다.

이번 글에서는 2017년(1월 1일~12월 31일) 동안 진행된 LINE Security Bug Bounty 프로그램을 뒤돌아보며, 여러분께 그 결과를 소개하려고 합니다.

대상 확대 및 기부 제도

‘LINE Security Bug Bounty Program’은 LINE이 제공하는 서비스에 잠재적으로 존재하는 취약점에 대해 외부의 보안 전문가들로부터 보고를 받아, 가급적 빨리 문제점을 수정함으로써 더욱 안전한 서비스를 제공하는 것을 목적으로 하고 있습니다. 지난 기사에서 소개한 바 있습니다만, 2017년에는 프로그램 대상을 확대하여 더욱 많은 보고를 받을 수 있었습니다. 또한 11월부터는 포상 대상자가 보상금을 기부할 수 있는 옵션을 제공하기 시작했습니다.

Visit per country

LINE Bug Security Bug Bounty Program 정보

2018년에 저희 프로그램에 참여해 보고 싶으신 분들은 다음의 페이지들을 확인해 보세요!

주별/취약점별 접수 상황

2017년(2017년 1월 1일부터 12월 31일까지)에는 총 212건이 LINE Security Bug Bounty 사이트에 접수되었습니다. 아래의 그래프는 주별 접수 건수를 보여주고 있습니다. 이에 대한 요약은 다음과 같습니다.

Visit per country
주별 접수 건수

접수 건수에 대한 요약은 다음과 같습니다.

  • 대상 확대(4월 10일) 전의 접수 건수: 40건(1월 1일~4월 9일)
  • 대상 확대(4월 10일) 후의 접수 건수: 172건(4월 10일~12월 31일)
  • 상반기 접수 건수:96건(1월1일~6월30일)
  • 하반기 접수 건수:116건(7월1일~12월31일)

2017년 동안 접수된 취약점 종류는 다음과 같습니다.

Visit per country
접수된 취약점 종류 비율

국가별 방문 건수

이번에 접수된 212건 중 일본에서는 11건이, 그리고 한국과 그 외 국가에서 201건이 접수되었습니다. 아래 차트는 상시 운영 기간 동안 저희 프로그램 사이트를 방문한 국가 비율을 보여주고 있습니다. 2016년과 동일하게 인지도가 향상되고 있는 듯 합니다.

Visit per country
국가별 사이트 방문 비율

심사 결과

이번 프로그램에서는 XSS (Cross-site Scripting), CSRF (Cross-Site Request Forgery) 등 총 45건이 취약점으로 인정되었습니다. 심사 결과는 Hall of fame 페이지에서 확인할 수 있습니다. 참고로 저희는 Hall of fame 목록이 갱신되면 이에 대해 공지하고 있습니다.

Reward per country

2017년 보상금은 총 76,500 달러(USD)입니다. 다음 차트는 보상금의 국가별 지급 비율을 보여주고 있습니다.

Reward per country
국가별 보상금 지급 비율

심사 결과, 이용 규약상 프로그램 대상 범위 밖이라 정식 인정을 받지는 못했으나 LINE에 유익한 정보로 판단된 접수 건은 별도로 분류하여 보상금을 지급했으며, Special Contributors라는 이름으로 2017년에는 21명이 선정되었습니다. 2016년도의 8명을 크게 웃돈 숫자입니다.

현재까지의 통계 및 보상금 지급 절차

현재까지의 통계

2015년
(프로그램 실시)
2016년
(상시 운영 개시)
2017년
(프로그램 대상 확대)
실시 기간 8/24~9/23 6/2~12/31 1/1~12/31
접수 건수 194건
(일본: 89, 한국 포함 타 국가: 105)
97건
(일본: 15, 한국 포함 타 국가: 82)
212건
(일본: 11, 한국 포함 타 국가: 201)
보상금 대상의 취약점 수 14개 13개 45개
Hall of Fame 8명 3명 11명
Special Contributors 9명 8명 21명
발생한 보상금 미화 44,000 달러 미화 27,000 달러 미화 76,500 달러

보상금 지급 절차

LINE Security Bug Bounty 프로그램에 보고한 내용이 취약점으로 인정이 되면 보고자는 보상금을 받게 됩니다. 보상금 지급 절차는 다음과 같습니다.

  1. 보고자가 취약점을 보고한다.
  2. LINE 담당자가 보고 내용을 조사한다.
  3. 보고된 내용이 취약점으로 인정되면, 접수자에게 보상금에 대해 안내를 제공한다.
  4. 보고자가 보상금 지급에 동의한다.
  5. 보고자가 보상금 지급에 필요한 정보를 제출한다.
  6. LINE 담당자가 제출한 정보와 서류 확인을 진행한다.
  7. LINE은 보상금을 지급한다.

절차에 대해 상세한 내용을 보려면 프로그램 FAQ의 Q12 항목을 참고하세요. 참고로, 2017년에는 보상금 안내 시점부터 지급까지 평균 52일이 소요되었습니다.

2017년에 결과에 대한 소감

여러분의 많은 관심과 제보 덕분에 LINE은 LINE Security Bug Bounty 프로그램을 통해 여러가지 취약점을 조기에 찾아 개선할 수 있었습니다. 발견된 취약점들은 LINE에 반영된 상태이며, 덕분에 사용자는 LINE 서비스를 더욱 안전하게 이용하실 수 있게 되었습니다. 또한, 앞서 언급한대로, 2017년 상반기에는 LINE 서비스 확장에 발맞춰 본 프로그램 대상을 확대했고, 하반기에는 보상금을 기부할 수 있는 옵션을 제공하기 시작하였습니다.

앞으로도 LINE Security Bug Bounty 프로그램은 LINE의 보안 리스크를 줄일 수 있는 프로그램으로서 더욱 양질의 프로그램으로 확장, 발전시키도록 노력하겠습니다.

취약점을 접수하고 싶으실 때는 언제라도 LINE Security Bug Bounty 프로그램 사이트에서 접수하실 수 있으니, 앞으로도 여러분의 많은 참여를 부탁드립니다. 관심 있으신 분들은 본 프로그램에 대한 이전 블로그 글도 확인해 보세요.

Related Post