Tag Archives: BugBounty

2016년 LINE Security Bug Bounty Program 결과와 상시운영 소개

상시운영에 관하여

안녕하세요. LINE에서 보안 업무를 맡고 있는 이명재(MJ)라고 합니다.

먼저, ‘LINE Bug Bounty Program’에 대해서 처음 들어보신 분들은 이전의 소개 블로그2015년도 시험운영 결과 블로그를 먼저 읽어보시길 권장합니다.

이번 블로그에서는 2016년 ‘LINE Security Bug Bounty Program’을 뒤돌아보며, 여러분께 그 결과를 소개하려고 합니다. 이 프로그램은 외부의 엔지니어분들로부터 보고를 받은 서비스에 잠재적으로 존재하는 취약점에 대해 가능한 빨리 문제점을 수정함으로써 더욱 안전한 서비스를 제공하는 것을 목적으로 하고 있습니다.

먼저 2015년도에는 ‘LINE Bug Bounty Program’을 8월 24일부터 9월 23일까지 한정된 기간동안 시험적으로 실시했습니다. 이후 2016년에는 앞선 1개월 간의 시험운영에서의 경험을 바탕으로, 2016년에는 프로그램 내용의 개정, 리스크의 계속적인 관리를 주 목적으로 개선하였습니다. 또한 프로그램의 이용규약 보고폼, 보고내용의 판단기준, 여기에 상시운영을 전제로 한 운영체제 등 여러 가지 측면에서 개선을 준비하여, 2016년 6월 2일부터는 ‘LINE Security Bug Bounty Program’이란 이름으로 프로그램명을 변경하여 상시 운영하게 되었습니다.

LINE Security Bug Bounty 홈페이지 : https://bugbounty.linecorp.com/

LINE Bug Bounty 결과

버그바운티를 준비하면서

안녕하세요. LINE에서 보안 업무를 맡고 있는 이명재(MJ)라고 합니다. 이번 블로그에서는 지난 블로그에서 소개했던 것처럼 LINE이 처음으로 도전한 2015년도 LINE Bug Bounty Program(8/24-9/23)이 무사히 마감되어 그동안 어떻게 진행되었는지를 여러분께 공유하려고 합니다.

서비스에 잠재된 취약점을 신속하게 발견하고 수정하여 사용자에게 안전한 서비스를 제공하는 것이 이 프로그램의 취지였는데요. 프로그램을 준비하는 과정에서 회사 내 여러 부서의 도움을 받았습니다. 프로그램을 준비하면서 가장 필요했던 것은 경영진의 서포트와 멤버 구성이었습니다. 우선 경영진은 예산집행에 있어서 후원을 아끼지 않았습니다. 보통 기업들이 Bug Bounty Program을 진행하는 데 있어 가장 어려운 부분이 충분한 예산 편성과 자금 확보입니다. 하지만 LINE의 경영진은 장기적으로 서비스 안전성을 확보하는 것이 나중에 보안사고로 발생하는 손실비용보다 더 효과적임을 이해해 주었습니다. 보상금은 취약점을 기준으로 최소 금액을 정했고, 최대 금액은 취약점 1건당 20,000달러(USD)로 치명적인 취약점일수록 큰 상금으로 산정하여 적절한 보상이 이루어질 수 있게 준비하였습니다.