2016년 LINE Security Bug Bounty Program 결과와 상시운영 소개

상시운영에 관하여

안녕하세요. LINE에서 보안 업무를 맡고 있는 이명재(MJ)라고 합니다.

먼저, ‘LINE Bug Bounty Program’에 대해서 처음 들어보신 분들은 이전의 소개 블로그2015년도 시험운영 결과 블로그를 먼저 읽어보시길 권장합니다.

이번 블로그에서는 2016년 ‘LINE Security Bug Bounty Program’을 뒤돌아보며, 여러분께 그 결과를 소개하려고 합니다. 이 프로그램은 외부의 엔지니어분들로부터 보고를 받은 서비스에 잠재적으로 존재하는 취약점에 대해 가능한 빨리 문제점을 수정함으로써 더욱 안전한 서비스를 제공하는 것을 목적으로 하고 있습니다.

먼저 2015년도에는 ‘LINE Bug Bounty Program’을 8월 24일부터 9월 23일까지 한정된 기간동안 시험적으로 실시했습니다. 이후 2016년에는 앞선 1개월 간의 시험운영에서의 경험을 바탕으로, 2016년에는 프로그램 내용의 개정, 리스크의 계속적인 관리를 주 목적으로 개선하였습니다. 또한 프로그램의 이용규약 보고폼, 보고내용의 판단기준, 여기에 상시운영을 전제로 한 운영체제 등 여러 가지 측면에서 개선을 준비하여, 2016년 6월 2일부터는 ‘LINE Security Bug Bounty Program’이란 이름으로 프로그램명을 변경하여 상시 운영하게 되었습니다.

LINE Security Bug Bounty 홈페이지 : https://bugbounty.linecorp.com/

취약점 접수폼 : https://bugbounty.linecorp.com/apply/

프로그램 FAQ : https://bugbounty.linecorp.com/en/faq/

일별/취약점별 접수상황

이번 상시운영 기간동안 LINE Security Bug Bounty 접수폼을 통해 접수된 상황은 다음과 같습니다. 상시운영 개시일 2016년 6월 2일부터 12월 31일까지, 약 7개월간의 총 접수건수는 97건을 기록했습니다. 아래의 [그림1]은 주별 접수건수, 접수된 취약점 비율을 그래프로 표현한 것입니다.

[그림1] 주별 접수건수, 접수된 취약점 비율

국가별 접속

이번에 접수된 97건 중 일본에서는 15건, 한국 및 다른 국가에서 82건이 접수되었습니다. 아래 [그림2]는 상시운영 기간에 웹 사이트에 접속한 국가별 접속 비율인데 일본뿐만 아니라 태국, 대만, 인도네시아 등 해외에서도 높은 관심을 보여주었음을 알 수 있습니다. LINE이 일본을 포함한 글로벌 지역에서 큰 인기를 얻고 있기 때문에 LINE Security Bug Bounty Program 또한 작년과 비교해 인지도가 향상되고 있는 듯합니다.

[그림2] 국가별 접속비율

심사 과정

접수된 내용에 대한 심사는 1차, 2차로 나뉘어 진행되었습니다. 심사에 대해서는 지난 번 블로그에서도 소개한 적이 있습니다만 1차, 2차 심사에 통과하면 취약점으로 인정해 보상금이 지불되며, Hall of fame(명예의 전당)에 보고자명, 취약점 카테고리 등이 공개됩니다.
심사 단계는 다음과 같습니다.

1st ACCEPT: 취약점보고의 제출자료로서, 심사가능으로 판정된 상태입니다.
1st REJECT: 취약점보고의 제출자료로서, 심사불가로 판정된 상태입니다.
2nd ACCEPT: 보고내용이 상세히 조사되어 취약점으로 인정된 상태입니다.
2nd REJECT: 보고내용이 상세히 조사되어 취약점으로 인정되지 않은 상태입니다.
COMPLETE: 보상금 지불이 완료된 상태입니다.

심사 결과

이번 프로그램에서는 XSS, CSRF 등 총 13건이 취약점으로 인정되었습니다. 2016년 상시프로그램을 통해 발생한 보상금은 총 27,000달러(USD)입니다. 심사 결과에 대해서는 Hall of fame 페이지에서 확인할 수 있으며 Hall of fame List 페이지에서는 갱신상황을 공지하고 있습니다.

심사결과, 이용규약상 프로그램 대상 범위가 아니기 때문에 정식인정은 되지 않았지만 LINE에 유익한 정보로 판단된 것들은 별도로 분류하여 보상금을 지불했으며, Special Contributors라는 항목으로 8명을 공개하였습니다.

마지막으로

여러분의 많은 관심과 제보 덕분에 LINE은 LINE Security Bug Bounty Program을 통해 여러 가지 취약점을 조기에 찾아 개선할 수 있었습니다. 발견된 취약점들은 모두 수정하여 반영된 상태이니, 사용자들은 LINE 서비스를 더욱 안전하게 이용할 수 있습니다.

LINE Security Bug Bounty Program은 LINE의 보안 리스크를 줄일 수 있는 프로그램으로서 더욱 양질의 프로그램으로 확장, 발전시키도록 노력하겠습니다. 현재 LINE이 제공하는 서비스의 수도 증가하여 더욱 글로벌로 확장되고 있는 상황이며 프로그램 대상 확대에 관해서는 우선적인 과제로 검토 중이니 많은 관심을 가져주시기 바랍니다.

LINE Security Bug Bounty Program 사이트에서는 상시로 취약성 보고가 가능하므로, 앞으로 여러분의 많은 참여를 부탁드립니다.

Related Post