KR102608923B1 - 보안 취약점에 대한 가치 평가 방법 및 장치 - Google Patents

보안 취약점에 대한 가치 평가 방법 및 장치 Download PDF

Info

Publication number
KR102608923B1
KR102608923B1 KR1020230120771A KR20230120771A KR102608923B1 KR 102608923 B1 KR102608923 B1 KR 102608923B1 KR 1020230120771 A KR1020230120771 A KR 1020230120771A KR 20230120771 A KR20230120771 A KR 20230120771A KR 102608923 B1 KR102608923 B1 KR 102608923B1
Authority
KR
South Korea
Prior art keywords
security
bug
security vulnerability
bounty
vulnerability
Prior art date
Application number
KR1020230120771A
Other languages
English (en)
Inventor
이준학
이정훈
조정현
Original Assignee
주식회사 엔키
Priority date (The priority date is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the date listed.)
Filing date
Publication date
Application filed by 주식회사 엔키 filed Critical 주식회사 엔키
Priority to KR1020230120771A priority Critical patent/KR102608923B1/ko
Application granted granted Critical
Publication of KR102608923B1 publication Critical patent/KR102608923B1/ko

Links

Classifications

    • GPHYSICS
    • G06COMPUTING; CALCULATING OR COUNTING
    • G06QINFORMATION AND COMMUNICATION TECHNOLOGY [ICT] SPECIALLY ADAPTED FOR ADMINISTRATIVE, COMMERCIAL, FINANCIAL, MANAGERIAL OR SUPERVISORY PURPOSES; SYSTEMS OR METHODS SPECIALLY ADAPTED FOR ADMINISTRATIVE, COMMERCIAL, FINANCIAL, MANAGERIAL OR SUPERVISORY PURPOSES, NOT OTHERWISE PROVIDED FOR
    • G06Q10/00Administration; Management
    • G06Q10/06Resources, workflows, human or project management; Enterprise or organisation planning; Enterprise or organisation modelling
    • G06Q10/063Operations research, analysis or management
    • G06Q10/0639Performance analysis of employees; Performance analysis of enterprise or organisation operations
    • GPHYSICS
    • G06COMPUTING; CALCULATING OR COUNTING
    • G06FELECTRIC DIGITAL DATA PROCESSING
    • G06F21/00Security arrangements for protecting computers, components thereof, programs or data against unauthorised activity
    • G06F21/50Monitoring users, programs or devices to maintain the integrity of platforms, e.g. of processors, firmware or operating systems
    • G06F21/57Certifying or maintaining trusted computer platforms, e.g. secure boots or power-downs, version controls, system software checks, secure updates or assessing vulnerabilities
    • G06F21/577Assessing vulnerabilities and evaluating computer system security
    • GPHYSICS
    • G06COMPUTING; CALCULATING OR COUNTING
    • G06QINFORMATION AND COMMUNICATION TECHNOLOGY [ICT] SPECIALLY ADAPTED FOR ADMINISTRATIVE, COMMERCIAL, FINANCIAL, MANAGERIAL OR SUPERVISORY PURPOSES; SYSTEMS OR METHODS SPECIALLY ADAPTED FOR ADMINISTRATIVE, COMMERCIAL, FINANCIAL, MANAGERIAL OR SUPERVISORY PURPOSES, NOT OTHERWISE PROVIDED FOR
    • G06Q10/00Administration; Management
    • G06Q10/06Resources, workflows, human or project management; Enterprise or organisation planning; Enterprise or organisation modelling
    • G06Q10/063Operations research, analysis or management
    • G06Q10/0635Risk analysis of enterprise or organisation activities
    • GPHYSICS
    • G06COMPUTING; CALCULATING OR COUNTING
    • G06QINFORMATION AND COMMUNICATION TECHNOLOGY [ICT] SPECIALLY ADAPTED FOR ADMINISTRATIVE, COMMERCIAL, FINANCIAL, MANAGERIAL OR SUPERVISORY PURPOSES; SYSTEMS OR METHODS SPECIALLY ADAPTED FOR ADMINISTRATIVE, COMMERCIAL, FINANCIAL, MANAGERIAL OR SUPERVISORY PURPOSES, NOT OTHERWISE PROVIDED FOR
    • G06Q10/00Administration; Management
    • G06Q10/10Office automation; Time management
    • G06Q10/105Human resources
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L63/00Network architectures or network communication protocols for network security
    • H04L63/14Network architectures or network communication protocols for network security for detecting or protecting against malicious traffic
    • H04L63/1433Vulnerability analysis

Landscapes

  • Engineering & Computer Science (AREA)
  • Business, Economics & Management (AREA)
  • Human Resources & Organizations (AREA)
  • Entrepreneurship & Innovation (AREA)
  • Strategic Management (AREA)
  • Computer Security & Cryptography (AREA)
  • Theoretical Computer Science (AREA)
  • Economics (AREA)
  • Physics & Mathematics (AREA)
  • General Engineering & Computer Science (AREA)
  • Computer Hardware Design (AREA)
  • General Physics & Mathematics (AREA)
  • Quality & Reliability (AREA)
  • Tourism & Hospitality (AREA)
  • General Business, Economics & Management (AREA)
  • Operations Research (AREA)
  • Marketing (AREA)
  • Educational Administration (AREA)
  • Development Economics (AREA)
  • Computing Systems (AREA)
  • Game Theory and Decision Science (AREA)
  • Software Systems (AREA)
  • Data Mining & Analysis (AREA)
  • Computer Networks & Wireless Communication (AREA)
  • Signal Processing (AREA)
  • Management, Administration, Business Operations System, And Electronic Commerce (AREA)

Abstract

버그 바운티에서 제보된 보안 취약점에 대한 가치 평가 방법 및 장치가 제공된다. 상기 가치 평가 장치는 하나 이상의 인스트럭션을 저장하는 메모리, 및 상기 메모리에 저장된 상기 하나 이상의 인스트럭션을 실행하는 하나 이상의 프로세서를 포함하고, 상기 하나 이상의 프로세서는 상기 하나 이상의 인스트럭션을 실행함으로써, 버그 바운티에서 제보된 보안 취약점의 CVSS(Common Vulnerability Scoring System)에 관한 기술적 측면을 평가하고, 동등한 CVSS 점수를 가진 타 보안 취약점의 블랙마켓 거래 금액 이력 또는 버그 바운티의 포상 금액 이력에 기초하여 상기 보안 취약점의 경제적 측면을 평가하고, 상기 보안 취약점에 따른 인지도 하락 및 이용자 이탈로 인한 영업 손해에 관한 영업적 측면을 평가하고, 상기 보안 취약점과 관련한 법규 위반에 따라 예상되는 금전 제재에 관한 법적 측면을 평가하고, 상기 기술적 측면, 상기 경제적 측면, 상기 영업적 측면, 상기 법적 측면의 평가 결과를 종합하여 상기 보안 취약점에 대한 가치를 평가한다.

Description

보안 취약점에 대한 가치 평가 방법 및 장치{APPARATUS AND METHOD OF VALUATION FOR SECURITY VULNERABILITY}
본 발명은 버그 바운티에서 제보된 보안 취약점에 대한 가치 평가 방법 및 장치에 관한 것이다.
정보통신기술(Information & Communication Technology, ICT)의 발달로 인하여 다양한 사이버보안 위협이 증가하고 있다. 따라서, 정보 시스템의 보안 문제로 인한 심각한 재정적 손실이나 인명 피해가 발생할 수 있다.
이러한 보안 문제를 해결하기 위해, 기업의 서비스 및 제품을 해킹해 보안 취약점을 찾은 화이트 해커에게 보상을 지급하는 제도인 버그 바운티(bug bounty)가 실시되고 있다. 보안 취약점을 찾은 해커에게 적절한 보상을 지급하기 위해서 보안 취약점에 대한 가치를 정확하게 평가하는 것이 필요하다.
등록특허공보 제10-0955281호, 2010.04.30.
본 발명이 해결하고자 하는 과제는 보안 취약점에 대한 가치 평가 방법 및 장치를 제공하는 것이다.
본 발명이 해결하고자 하는 과제들은 이상에서 언급된 과제로 제한되지 않으며, 언급되지 않은 또 다른 과제들은 아래의 기재로부터 통상의 기술자에게 명확하게 이해될 수 있을 것이다.
상술한 과제를 해결하기 위한 본 발명의 일 면에 따른 버그 바운티에서 제보된 보안 취약점에 대한 가치 평가 장치는 하나 이상의 인스트럭션을 저장하는 메모리, 및 상기 메모리에 저장된 상기 하나 이상의 인스트럭션을 실행하는 하나 이상의 프로세서를 포함하고, 상기 하나 이상의 프로세서는 상기 하나 이상의 인스트럭션을 실행함으로써, 버그 바운티에서 제보된 보안 취약점의 CVSS(Common Vulnerability Scoring System)에 관한 기술적 측면을 평가하고, 동등한 CVSS 점수를 가진 타 보안 취약점의 블랙마켓 거래 금액 이력 또는 버그 바운티의 포상 금액 이력에 기초하여 상기 보안 취약점의 경제적 측면을 평가하고, 상기 보안 취약점에 따른 인지도 하락 및 이용자 이탈로 인한 영업 손해에 관한 영업적 측면을 평가하고, 상기 보안 취약점과 관련한 법규 위반에 따라 예상되는 금전 제재에 관한 법적 측면을 평가하고, 상기 기술적 측면, 상기 경제적 측면, 상기 영업적 측면, 상기 법적 측면의 평가 결과를 종합하여 상기 보안 취약점에 대한 가치를 평가한다.
상술한 과제를 해결하기 위한 본 발명의 일 면에 따른 버그 바운티에서 제보된 보안 취약점에 대한 가치 평가 방법은 버그 바운티에서 제보된 보안 취약점의 CVSS(Common Vulnerability Scoring System)에 관한 기술적 측면을 평가하는 단계, 동등한 CVSS 점수를 가진 타 보안 취약점의 블랙마켓 거래 금액 이력 또는 버그 바운티의 포상 금액 이력에 기초하여 상기 보안 취약점의 경제적 측면을 평가하는 단계, 상기 보안 취약점에 따른 인지도 하락 및 이용자 이탈로 인한 영업 손해에 관한 영업적 측면을 평가하는 단계, 상기 보안 취약점과 관련한 법규 위반에 따라 예상되는 금전 제재에 관한 법적 측면을 평가하는 단계, 및 상기 기술적 측면, 상기 경제적 측면, 상기 영업적 측면, 상기 법적 측면의 평가 결과를 종합하여 상기 보안 취약점에 대한 가치를 평가하는 단계를 포함할 수 있다.
본 발명의 기타 구체적인 사항들은 상세한 설명 및 도면들에 포함되어 있다.
본 발명은 사전 결정된 다양한 기준에 따라 다각도로 보안 취약점에 대한 평가를 수행함으로써, 화이트 해커와 기업에게 합리적인 보상을 제안할 수 있다.
본 발명의 효과들은 이상에서 언급된 효과로 제한되지 않으며, 언급되지 않은 또 다른 효과들은 아래의 기재로부터 통상의 기술자에게 명확하게 이해될 수 있을 것이다.
도 1은 본 발명의 일 실시예에 따른 버그 바운티에서 제보된 보안 취약점에 대한 가치 평가 장치 및 서버를 간략하게 나타낸 도면이다.
도 2는 본 발명의 다른 실시예에 따른 버그 바운티에서 제보된 보안 취약점에 대한 가치 평가 장치 및 서버를 간략하게 나타낸 도면이다.
도 3은 본 발명의 일 실시예에 따라, 가치 평가 장치에서 수행되는 보안 취약점에 대한 가치의 평가 방법을 나타낸 도면이다.
도 4는 본 발명의 다른 일 실시예에 따라, 가치 평가 장치에서 수행되는 보안 취약점에 대한 가치의 평가 방법을 나타낸 도면이다.
도 5는 본 발명의 일 실시예에 따라, 가치 평가 장치에서 수행되는 보안 취약점에 대한 가치 평가 과정을 나타낸 도면이다.
도 6은 본 발명의 일 실시예 따른 이력을 설명하기 위한 도면이다.
본 발명의 이점 및 특징, 그리고 그것들을 달성하는 방법은 첨부되는 도면과 함께 상세하게 후술되어 있는 실시예들을 참조하면 명확해질 것이다. 그러나, 본 발명은 이하에서 개시되는 실시예들에 제한되는 것이 아니라 서로 다른 다양한 형태로 구현될 수 있으며, 단지 본 실시예들은 본 발명의 개시가 완전하도록 하고, 본 발명이 속하는 기술 분야의 통상의 기술자에게 본 발명의 범주를 완전하게 알려주기 위해 제공되는 것이며, 본 발명은 청구항의 범주에 의해 정의될 뿐이다.
본 명세서에서 사용된 용어는 실시예들을 설명하기 위한 것이며 본 발명을 제한하고자 하는 것은 아니다. 본 명세서에서, 단수형은 문구에서 특별히 언급하지 않는 한 복수형도 포함한다. 명세서에서 사용되는 "포함한다(comprises)" 및/또는 "포함하는(comprising)"은 언급된 구성요소 외에 하나 이상의 다른 구성요소의 존재 또는 추가를 배제하지 않는다. 명세서 전체에 걸쳐 동일한 도면 부호는 동일한 구성 요소를 지칭하며, "및/또는"은 언급된 구성요소들의 각각 및 하나 이상의 모든 조합을 포함한다. 비록 "제1", "제2" 등이 다양한 구성요소들을 서술하기 위해서 사용되나, 이들 구성요소들은 이들 용어에 의해 제한되지 않음은 물론이다. 이들 용어들은 단지 하나의 구성요소를 다른 구성요소와 구별하기 위하여 사용하는 것이다. 따라서, 이하에서 언급되는 제1 구성요소는 본 발명의 기술적 사상 내에서 제2 구성요소일 수도 있음은 물론이다.
다른 정의가 없다면, 본 명세서에서 사용되는 모든 용어(기술 및 과학적 용어를 포함)는 본 발명이 속하는 기술분야의 통상의 기술자에게 공통적으로 이해될 수 있는 의미로 사용될 수 있을 것이다. 또한, 일반적으로 사용되는 사전에 정의되어 있는 용어들은 명백하게 특별히 정의되어 있지 않는 한 이상적으로 또는 과도하게 해석되지 않는다.
본 발명을 설명함에 있어서 관련된 공지 기술에 대하여 통상의 기술자에게 자명한 사항으로서 본 발명의 요지를 불필요하게 흐릴 수 있다고 판단되는 경우에는 상세한 설명을 생략한다.
이하, 첨부된 도면을 참조하여 본 발명의 실시예를 상세하게 설명한다.
도 1은 본 발명의 일 실시예에 따른 버그 바운티에서 제보된 보안 취약점에 대한 가치 평가 장치를 간략하게 나타낸 도면이다.
도 1을 참조하면, 버그 바운티에서 제보된 보안 취약점에 대한 가치 평가 장치(100)는 버그 바운티에 관한 서버(200)와 상이하게 별도로 구비될 수 있다. 일 실시예에서, 가치 평가 장치(100)는 버그 바운티에 관한 서버(200)에 포함될 수 있다.
버그 바운티에 관한 서버(200)는 기업의 관계자 또는 서버의 운영자에 의해 특정 프로그램, 서버, 코드 등에 대한 보안 취약점 탐색에 대한 요청을 업로드할 수 있다. 화이트 해커는 보안 취약점 탐색에 대한 요청에 응답하여 특정 프로그램, 서버, 코드 등에 대한 보안 취약점을 탐색할 수 있다. 버그 바운티에 관한 서버는 화이트 해커에 의해 탐색된 특정 프로그램, 서버, 코드 등에 대한 보안 취약점을 업로드할 수 있다. 일 실시예에서, 가치 평가 장치(100)는 버그 바운티에 관한 서버를 포함할 수 있다. 따라서, 가치 평가 장치(100)는 특정 프로그램, 서버, 코드 등에 대한 보안 취약점 탐색에 대한 요청을 업로드하고, 탐색된 보안 취약점을 업로드하는 서버의 기능을 수행할 수도 있다. 버그 바운티에 관한 서버(200)는 버그 바운티 프로그램을 운영하는 서버일 수 있다. 버그 바운티 프로그램은 기업의 서비스 및 제품을 해킹해 보안 취약점을 찾은 해커에게 보상을 지급하는 프로그램일 수 있다. 따라서, 버그 바운티에 관한 서버(200)는 화이트 해커에 의해 탐색된 특정 프로그램, 서버, 코드 등의 보안 취약점에 관한 제보를 수집하고, 수집된 제보에 대한 보상 처리를 수행할 수 있다. 보상 처리는 제보된 보안 취약점에 대한 가치 평가 결과에 따라 결정된 보상을 보안 취약점을 제보한 화이트 해커에게 지급하는 것을 의미할 수 있다.
네트워크(300)는 임의의 형태의 데이터 및 신호 등을 송수신할 수 있는 임의의 유무선 통신 네트워크를 포함할 수 있다. 구체적으로, 네트워크(300)는 가치 평가 장치(100)와 버그 바운티에 관한 서버(200) 간에 데이터 및 신호 등을 송수신할 수 있는 유무선 통신 네트워크를 포함할 수 있다.
한편, 버그 바운티에서 제보된 보안 취약점에 대한 가치 평가 장치(100)는 하나 이상의 프로세서(110), 메모리(120) 및 통신부(130)를 포함할 수 있다.
프로세서(110)는 하나 이상의 코어로 구성될 수 있다. 프로세서(110)는 가치 평가 장치(100)의 전체적인 동작을 제어할 수 있다. 프로세서(110)는 메모리(120)에 저장된 하나 이상의 인스트럭션을 판독하여 본 개시의 일 실시예에 따른 보안 취약점에 대한 가치 평가를 수행할 수 있다.
메모리(120)는 프로세서(110)가 생성하거나 결정한 임의의 형태의 정보 및 통신부(130)를 통해 수신한 임의의 형태의 정보를 저장할 수 있다. 메모리(120)는 RAM(Random Access Memory), ROM(Read Only Memory), EPROM(Erasable Programmable ROM), EEPROM(Electrically Erasable Programmable ROM), 플래시 메모리(Flash Memory), 하드 디스크, 착탈형 디스크, CD-ROM, 또는 본 발명이 속하는 기술 분야에서 잘 알려진 임의의 형태의 컴퓨터 판독가능 기록매체를 포함할 수 있다. 메모리(120)는 프로세서(110)에 의해 실행되는 하나 이상의 인스트럭션을 저장할 수 있다.
통신부(130)는 임의의 형태의 데이터, 정보 및 신호 등을 송수신할 수 있는 임의의 유무선 통신 네트워크를 포함할 수 있다. 통신부(130)는 외부 장치와 통신을 수행할 수 있다. 외부 장치는 예를 들어, 버그 바운티에 관한 서버(200), 사용자 디바이스 등 일 수 있다.
도 1을 통해 상술한 바와 같이, 가치 평가 장치(100)와 버그 바운티에 관한 서버(200)는 각각 독립적으로 분리되어 운영될 수 있다.
도 2는 본 발명의 다른 실시예에 따른 버그 바운티에서 제보된 보안 취약점에 대한 가치 평가 장치 및 서버를 간략하게 나타낸 도면이다.
도 2를 참조하면, 버그 바운티에 관한 서버(200)는 가치 평가 장치(100)를 포함할 수 있다. 따라서, 버그 바운티에 관한 서버(200)는 본 발명의 일 실시예에 따른 버그 바운티에서 제보된 보안 취약점에 대한 가치 평가를 수행할 수 있다.
도 2를 통해 상술한 바와 같이, 버그 바운티에 관한 서버(200)는 가치 평가 장치(100)를 포함할 수 있다.
다음으로, 본 발명의 일 실시예에 따라, 가치 평가 장치(100)의 프로세서(110)에 의해 수행되는 보안 취약점에 대한 가치의 구체적인 평가 방법을 후술하도록 한다.
도 3은는 본 발명의 일 실시예에 따라, 가치 평가 장치에서 수행되는 보안 취약점에 대한 가치의 평가 방법을 나타낸 도면이다. 도 3에 도시되는 단계들은 예시적인 단계들이다. 따라서, 본 개시의 사사의 범위를 벗어나지 않는 한도에서 도 3의 단계들 중 일부가 생략되거나 추가적인 단계들이 존재할 수 있다는 점 또한 당업자에게 명백할 것이다. 도 3에서 도시되는 흐름도는 예를 들어, 가치 평가 장치(100)에 의해 수행될 수 있다.
가치 평가 장치(100)의 프로세서(110)는 버그 바운티에서 제보된 보안 취약점의 CVSS(Common Vulnerability Scoring System)에 관한 기술적 측면을 평가할 수 있다(S110).
CVSS는 컴퓨터 시스템과 소프트웨어의 보안 취약점에 대한 심각도를 평가하고 점수화하기 위한 표준화된 시스템일 수 있다. 보안 취약점의 CVSS에 관한 기술적 측면은 CVSS 점수를 포함할 수 있다. CVSS 점수는 기반 점수(base score), 환경 점수(environmental score), 기준 점수(temporal score) 중 적어도 하나에 기초하여 결정되고, 사전 결정된 범위(예를 들어, 범위 0~10, 최소단위 0.1 등) 내에 존재할 수 있다.
기반 점수는 보안 취약점에 대한 심삭성을 나타내는 점수일 수 있다. 기반 점수는 공격자가 어떤 노력 없이 공격하는 경우를 가정하여 산출될 수 있다. 기반 점수는 시간 또는 사용자의 환경에 따라 변경되지 않는, 취약점의 본질적인 특성을 포함할 수 있다. 기반 점수는 악용 복잡성(exploitability), 공격 벡터(attack vector), 영향 범위(impact scope) 중 적어도 하나에 기초하여 산출될 수 있다.
악용 복잡성은 공격자가 보안 취약점을 악용하기 위해 필요한 기술적 능력과 작업량을 평가하여 산출될 수 있다. 프로세서(110)는 보안 취약점을 악용하기 위해 필요한 기술적 능력 및/또는 작업량에 기초하여 보안 취약점의 점수를 결정할 수 있다. 예를 들어, 프로세서(110)는 보안 취약점을 악용하기 위해 필요한 기술적 능력(예를 들어, 기술의 개수, 기술의 난이도 등)과 작업량(예를 들어, 작업을 수행하는데 걸리는 시간 등)이 낮을수록 보안 취약점에 대해서 높은 점수(치명적 위험군에 가까운 점수)를 부여할 수 있다.
공격 벡터는 보안 취약점을 악용하기 위해 공격자가 보안 취약점을 구현하는 과정에서 어떤 경로나 수단을 사용하는지를 평가하여 산출될 수 있다. 프로세서(110)는 보안 취약점의 구현하는 과정에 필요한 경로 및/또는 수단에 기초하여 보안 취약점의 점수를 결정할 수 있다. 예를 들어, 프로세서(110)는 보안 취약점을 구현하는 과정에서 경로의 길이가 짧을 수록(또는, 수단의 개수가 적을수록) 보안 취약점에 대해서 높은 점수를 부여할 수 있다.
영향 범위는 보안 취약점에 대한 공격이 성공했을 때 보안 취약점이 어떤 시스템이나 구성 요소에 영향을 미치는지를 평가하여 산출될 수 있다. 프로세서(110)는 보안 취약점이 미치는 영향이 넓을수록 보안 취약점에 대해서 높은 점수를 부여할 수 있다.
환경 점수는 기본 점수를 특정 환경에 대한 정보와 함께 고려하여 산출될 수 있다. 환경 점수는 기본 점수를 수정하여 계산되며, 특정 환경에서의 보안 취약점의 영향을 더 정확하게 반영할 수 있다.
기준 점수는 현재 시점에서 보안 취약점의 심각성을 평가하여 산출될 수 있다. 기준 점수는 시간적인 변화 또는 추가 정보를 반영하여 보안 취약점에 대한 평가를 더 정확하게 할 수 있다.
프로세서(110)는 점수에 기초하여 보안 취약점에 대응되는 위험군(예를 들어, 저위험군, 중위험군, 고위험군, 치명적 위험군 등)을 결정할 수 있다. 예를 들어, 프로세서(110)는 보안 취약점의 점수가 0.1이상 3.9이하인 경우, 보안 취약점을 저위험군으로 판단할 수 있다. 다른 예를 들어, 프로세서(110)는 보안 취약점의 점수가 4.0이상 6.9이하인 경우, 보안 취약점을 중위험군으로 판단할 수 있다. 또 다른 예를 들어, 프로세서(110)는 보안 취약점의 점수가 7.0이상 8.9이하인 경우, 보안 취약점을 고위험군으로 판단할 수 있다. 또 다른 예를 들어, 프로세서(110)는 보안 취약점가 9.0이상 10.0이하인 경우, 보안 취약점을 치명적 위험군으로 판단할 수 있다.
프로세서(110)는 동등한 CVSS 점수를 가진 타 보안 취약점의 블랙마켓 거래 금액 이력 또는 버그 바운티의 포상 금액 이력에 기초하여 보안 취약점의 경제적 측면을 평가할 수 있다(S120).
동등한 CVSS 점수를 가진다는 의미는 서로 동일한 위험군(예를 들어, 저위험군, 중위험군, 고위험군, 치명적 위험군 등)에 속한다는 것을 의미할 수 있다. 예를 들어, 동등한 CVSS 점수를 가진 타 보안 취약점은 보안 취약점과 동일한 위험군에 속하는 타 보안 취약점을 의미할 수 있다.
블랙마켓은 보안 취약점과 관련된 정보나 악용 도구를 거래하는 공간(예를 들어, 인터넷 사이트 등)을 의미할 수 있다. 블랙마켓 내의 타 보안 취약점에 대한 정보(예를 들어, 타 보안 취약점의 CVSS 점수, 타 보안 취약점의 카테고리, 타 보안 취약점의 거래 금액 이력 등)는 메모리(120)에 사전 저장되어 있을 수 있다. 일 실시예에서, 프로세서(110)는 블랙마켓 내의 타 보안 취약점에 대한 정보를 일정 시간마다 업데이트할 수 있다. 일 실시예에서, 프로세서(110)는 블랙마켓 내의 보안 취약점에 대한 정보가 메모리(120)에 저장되어 있지 않은 경우, 블랙마켓의 보안 취약점에 대한 정보를 저장하고 있는 외부 서버로부터 통신부(130)를 통해 블랙마켓의 보안 취약점에 대한 정보를 수신할 수 있다. 프로세서(110)는 동등한 CVSS 점수를 가진 타 보안 취약점의 블랙마켓 거래 금액 이력에 기재된 거래 금액을 보안 취약점의 경제적 측면인 경제적 가치로 결정할 수 있다.
버그 바운티는 기업의 서비스 및 제품을 해킹해 보안 취약점을 찾은 화이트 해커에게 보상을 지급하는 제도일 수 있다. 버그 바운티의 포상 금액 이력은 메모리(120)에 사전 저장되어 있을 수 있다. 일 실시예에서, 프로세서(110)는 버그 바운티의 포상 금액 이력을 일정 시간마다 업데이트할 수 있다. 일 실시예에서, 프로세서(110)는 버그 바운티의 포상 금액 이력에 대한 정보가 메모리(120)에 저장되어 있지 않은 경우, 버그 바운티의 포상 금액 이력에 대한 정보를 저장하고 있는 외부 서버로부터 통신부(130)를 통해 수신할 수 있다. 프로세서(110)는 동등한 CVSS 점수를 가진 타 보안 취약점의 버그 바운티의 포상 금액 이력에 기재된 거래 금액을 보안 취약점의 경제적 측면인 경제적 가치로 결정할 수 있다.
프로세서(110)는 보안 취약점에 따른 인지도 하락 및 이용자 이탈로 인한 영업 손해에 관한 영업적 측면을 평가할 수 있다(S130).
프로세서(110)는 버그 바운티의 신청 기업의 인지도, 버그 바운티의 대상 제품의 인지도 및/또는 버그 바운티의 대상 제품의 이용자 수에 따라 소정의 가중치를 결정할 수 있다.
버그 바운티의 신청 기업의 인지도는 기업의 인지도를 조사하는 조사기관에 의해 사전에 조사된 기업의 인지도 정보에 기초하여 결정될 수 있다. 예를 들어, 버그 바운티의 신청 기업의 인지도는 기업의 인지도 정보에 기초하여 매우 높음(top), 높음(high), 보통(medium), 낮음(low) 중 하나로 결정될 수 있다. 매우 높음(top)의 가중치는 1, 높음(high)의 가중치는 0.7, 보통(medium)의 가중치는 0.3, 낮음(low)의 가중치는 0.1일 수 있다. 다만, 각 항목의 가중치는 이에 한정되지 않는다.
버그 바운티의 대상 제품의 인지도는 제품의 인지도를 조사하는 조사기관에 의해 사전에 조사된 제품의 인지도 정보에 기초하여 결정될 수 있다. 예를 들어, 버그 바운티의 대상 제품의 인지도는 제품의 인지도 정보에 기초하여 매우 높음(top), 높음(high), 보통(medium), 낮음(low) 중 하나로 결정될 수 있다. 매우 높음(top)의 가중치는 1, 높음(high)의 가중치는 0.7, 보통(medium)의 가중치는 0.3, 낮음(low)의 가중치는 0.1일 수 있다. 다만, 각 항목의 가중치는 이에 한정되지 않는다.
버그 바운티의 대상 제품의 이용자 수는 일 평균 이용자 수를 기준으로 결정될 수 있다. 예를 들어, 버그 바운티의 대상 제품의 이용자 수는 100만명 이상, 10~100만명, 1~10만명, 1만명 미만의 구간 중 하나의 구간으로 결정될 수 있다. 100만명 이상인 경우에 가중치는 1, 10~100만명인 경우에 가중치는 0.7, 1~10만명인 경우에 가중치는 0.3, 1만명 미만인 경우에 가중치는 0.1일 수 있다. 다만, 각 항목의 가중치는 이에 한정되지 않는다.
프로세서(110)는 보안 취약점과 관련한 법규 위반에 따라 예상되는 금전 제재에 관한 법적 측면을 평가할 수 있다(S140).
프로세서(110)는 보안 취약점 악용으로 사고시 개인정보보호법 제29조(안전조치의무) 위반에 따른 예상 과징금을 보안 취약점과 관련한 법규 위반에 따라 예상되는 금전 제재에 관한 법적 측면으로 결정할 수 있다. 예상 과징금은 보안 취약점과 관련된 매출액의 3%이하일 수 있다.
프로세서(110)는 기술적 측면, 경제적 측면, 영업적 측면, 법적 측면의 평가 결과를 종합하여 보안 취약점에 대한 가치를 평가할 수 있다(S150).
프로세서(110)는 보안 취약점의 경제적 가치 기준에 소정의 가중치를 적용하여 보안 취약점에 대한 가치를 최종 평가할 수 있다. 예를 들어, 프로세서(110)는 금전 제재에 관한 법적 측면에 따른 예상 과징금에 버그 바운티의 신청 기업의 인지도에 따른 제1 가중치, 버그 바운티의 대상 제품의 인지도에 따른 제2 가중치 및 버그 바운티의 대상 제품의 이용자 수에 따른 제3 가중치 중 최대값(또는 최소값, 평균값 등)에 대응되는 하나의 가중치의 값을 곱함으로써, 보안 취약점에 대한 가치에 대응되는 값(예를 들어, 금액 등)을 산출할 수 있다.
프로세서(110)는 산출된 보안 취약점에 대한 가치에 기초하여 버그 바운티의 포상 금액을 결정할 수 있다. 예를 들어, 프로세서(110)는 산출된 보안 취약점에 대한 가치의 이하로 버그 바운티의 포상 금액을 결정할 수 있다.
도 4는 본 발명의 다른 일 실시예에 따라, 가치 평가 장치에서 수행되는 보안 취약점에 대한 가치의 평가 방법을 나타낸 도면이다.
가치 평가 장치(100)의 프로세서(110)는 버그 바운티에서 제보된 보안 취약점의 CVSS에 관한 기술적 측면을 평가할 수 있다(S210).
프로세서(110)는 버그 바운티에서 제보된 보안 취약점의 CVSS 점수를 산출할 수 있다. 프로세서(110)는 기반 점수(base score), 환경 점수(environmental score), 기준 점수(temporal score) 중 적어도 하나에 기초하여 CVSS 점수를 결정할 수 있다. 예를 들어, 프로세서(110)는 기반 점수, 환경 점수, 기준 점수 중에서 하나의 점수(예를 들어, 가장 높은 점수, 가장 낮은 점수 등)를 CVSS 점수로 결정할 수 있다. 다른 예를 들어, 프로세서(110)는 기반 점수, 환경 점수, 기준 점수 중에서 둘 이상의 점수의 평균을 CVSS 점수로 결정할 수 있다.
프로세서(110)는 보안 취약점의 경제적 가치에 대한 기준이 존재하는지 여부를 판단할 수 있다(S220).
예를 들어, 프로세서(110)는 동등한 CVSS 점수를 가진 타 보안 취약점의 블랙마켓 거래 금액 이력 또는 버그 바운티의 포상 금액 이력에 기초하여 보안 취약점의 경제적 가치에 대한 기준이 존재하는지 여부를 판단할 수 있다.
프로세서(110)는 동등한 CVSS 점수를 가진 타 보안 취약점의 블랙마켓 거래 금액 이력 또는 버그 바운티의 포상 금액 이력이 존재하는 경우(S220,Y), 블랙마켓 거래 금액 이력 또는 버그 바운티의 포상 금액 이력에 기초하여 보안 취약점의 경제적 가치를 결정할 수 있다(S230).
프로세서(110)는 동등한 CVSS 점수를 가진 타 보안 취약점의 블랙마켓 거래 금액 이력에 기재된 거래 금액 또는 또는 버그 바운티의 포상 금액 이력에 기재된 포상 금액을 보안 취약점에 대한 가치로 결정할 수 있다.
추가적인 일 실시예에서, 프로세서(110)는 동등한 CVSS 점수를 가진 타 보안 취약점의 블랙마켓 거래 금액 이력 및 버그 바운티의 포상 금액 이력이 둘 이상 존재하는 경우, 거래 또는 포상 일자가 최신에 해당하는 이력에 기재된 금액을 보안 취약점의 경제적 가치로 결정할 수 있다.
추가적인 일 실시예에서, 프로세서(110)는 동등한 CVSS 점수를 가진 타 보안 취약점의 블랙마켓 거래 금액 이력 및 버그 바운티의 포상 금액 이력이 둘 이상 존재하는 경우, 각각의 금액을 더한 평균 값을 보안 취약점의 경제적 가치로 결정할 수 있다.
프로세서(110)는 동등한 CVSS 점수를 가진 타 보안 취약점의 블랙마켓 거래 금액 이력 또는 버그 바운티의 포상 금액 이력이 존재하지 않는 경우(S220, N), 보안 취약점에 따른 인지도 하락 및 이용자 이탈로 인한 영업 손해 또는 보안 취약점과 관련한 법규 위반에 따라 예상되는 금전 제재에 기초하여 보안 취약점의 경제적 가치 기준을 결정할 수 있다(S240).
프로세서(110)는 보안 취약점에 따른 인지도 하락 및 이용자 이탈로 인한 영업 손해에 관한 영업적 측면을 평가할 수 있다.
프로세서(110)는 버그 바운티의 신청 기업의 인지도, 버그 바운티의 대상 제품의 인지도 및/또는 버그 바운티의 대상 제품의 이용자 수에 따라 소정의 가중치를 결정할 수 있다.
프로세서(110)는 버그 바운티 신청 기업의 인지도에 따른 제1 가중치(Cw), 버그 바운티 대상 제품의 인지도에 따른 제2 가중치(Pw) 또는 버그 바운티 대상 제품의 이용자 수에 따른 제3 가중치(Uw) 중 최대값을 소정의 가중치로 결정할 수 있다.
프로세서(110)는 보안 취약점의 경제적 가치 기준에 소정의 가중치를 적용하여 보안 취약점에 대한 가치를 최종 평가할 수 있다. 예를 들어, 프로세서(110)는 보안 취약점과 관련한 법규 위반에 따라 예상되는 금전 제재에 대한 금액(F)에 제1 가중치(Cw), 제2 가중치(Pw), 제3 가중치(Uw) 중 최대값을 곱하여 산출된 값을 보안 취약점의 경제적 가치로 결정할 수 있다.
추가적인 일 실시예에서, 프로세서(110)는 동등한 CVSS 점수를 가진 타 보안 취약점의 블랙마켓 거래 금액 이력 또는 버그 바운티의 포상 금액 이력이 존재하지 않는 경우, 보안 취약점의 CVSS 점수와 동등하지 않은 타 CVSS 점수를 가진 기타 보안 취약점의 블랙마켓 거래 금액 이력 또는 버그 바운티의 보상 금액 이력을 획득할 수 있다. 그리고, 프로세서(110)는 기타 보안 취약점의 블랙마켓 거래 금액 이력 또는 버그 바운티의 보상 금액 이력을 통해 확인되는 금액과 기타 보안 취약점의 CVSS 점수 간의 비율을 이용하여 보안 취약점의 경제적 가치를 결정할 수 있다. 예를 들어, 프로세서(110)는 기타 보안 취약점의 블랙마켓 거래 금액 이력 또는 버그 바운티의 보상 금액 이력을 통해 확인되는 금액을 기타 보안 취약점의 CVSS 점수로 나눈 제1 값을 산출할 수 있다. 그리고, 프로세서(110)는 제1 값을 보안 취약점의 CVSS 점수로 곱한 제2 값을 산출할 수 있다. 프로세서(110)는 제2 값을 보안 취약점의 경제적 가치로 결정할 수 있다.
따라서, 프로세서(110)는 경제적 가치를 산출하고자 하는 보안 취약점과 동등한 CVSS 점수를 가진 타 보안 취약점에 대한 정보가 없는 경우에도 다른 CVSS 점수를 가진 기타 보안 취약점에 대한 정보를 이용함으로써, 보안 취약점에 대한 경제적 가치를 산출할 수 있다.
프로세서(110)는 보안 취약점과 관련한 법규 위반에 따라 예상되는 금전 제재에 관한 법적 측면을 평가할 수 있다. 프로세서(110)는 보안 취약점 악용으로 사고시 개인정보보호법 제29조(안전조치의무) 위반에 따른 예상 과징금을 보안 취약점과 관련한 법규 위반에 따라 예상되는 금전 제재에 관한 법적 측면으로 결정할 수 있다. 예상 과징금은 보안 취약점과 관련된 매출액의 3%이하일 수 있다.
도 5는 본 발명의 일 실시예에 따라, 가치 평가 장치에서 수행되는 보안 취약점에 대한 가치 평가 과정을 나타낸 도면이다.
도 5를 참조하면, 가치 평가 장치(100)는 버그 바운티에서 제보된 보안 취약점(10)을 획득할 수 있다. 예를 들어, 버그 바운티에 관한 서버(200)로부터 보안 취약점(10)을 수신할 수 있다.
가치 평가 장치(100)는 버그 바운티에서 제보된 보안 취약점의 CVSS에 관한 기술적 측면을 평가함으로써, 기술적 측면의 평가 결과(20)를 생성할 수 있다.
가치 평가 장치(100)는 동등한 CVSS 점수를 가진 타 보안 취약점의 블랙마켓 거래 금액 이력 또는 버그 바운티의 포상 금액 이력에 기초하여 보안 취약점의 경제적 측면을 평가함으로써, 경제적 측면의 평가 결과(30)를 생성할 수 있다.
가치 평가 장치(100)는 보안 취약점에 따른 인지도 하락 및 이용자 이탈로 인한 영업 손해에 관한 영업적 측면을 평가함으로써, 영업적 측면의 평가 결과(40)를 생성할 수 있다.
가치 평가 장치(100)는 보안 취약점과 관련한 법규 위반에 따라 예상되는 금전 제재에 관한 법적 측면을 평가함으로써, 법적 측면의 평가 결과(50)를 생성할 수 있다.
가치 평가 장치(100)는 기술적 측면의 평가 결과(20), 경제적 측면의 평가 결과(30), 영업적 측면의 평가 결과(40), 법적 측면의 평가 결과(50)를 종합하여 보안 취약점에 대한 가치를 평가함으로써, 보안 취약점의 가치 값(60)을 결정할 수 있다.
도 6은 본 발명의 일 실시예 따른 이력을 설명하기 위한 도면이다.
도 6을 참조하면, 이력 정보(70)(예를 들어, 버그 바운티의 포상 금액 이력에 대한 정보, 블랙마켓 거래 금액 이력에 대한 정보 등)는 가치 평가 장치(100)의 메모리(120)에 사전에 저장되어 있을 수 있다.
일 실시예에서, 이력 정보(70)는 외부 서버(400)의 메모리에 저장되어 있을 수 있다. 외부 서버(400)는 버그 바운티 프로그램을 운영하는 서버일 수 있다. 외부 서버(400)는 블랙마켓 프로그램을 운영하는 서버일 수 있다. 따라서, 가치 평가 장치(100)의 프로세서(110)는 외부 서버(400)로부터 통신부(130)를 통해 이력 정보(70)를 수신할 수 있다.
도 1 내지 도 6을 참조하여 상술한 바와 같이, 본 발명의 일 실시예에 따른 가치 평가 장치(100)는 사전 결정된 다양한 기준에 따라 다각도로 보안 취약점에 대한 평가를 수행함으로써, 화이트 해커와 기업에게 합리적인 보상을 제안할 수 있다.
본 발명의 실시예와 관련하여 설명된 방법 또는 알고리즘의 단계들은 하드웨어로 직접 구현되거나, 하드웨어에 의해 실행되는 소프트웨어 모듈로 구현되거나, 또는 이들의 결합에 의해 구현될 수 있다. 소프트웨어 모듈은 RAM(Random Access Memory), ROM(Read Only Memory), EPROM(Erasable Programmable ROM), EEPROM(Electrically Erasable Programmable ROM), 플래시 메모리(Flash Memory), 하드 디스크, 착탈형 디스크, CD-ROM, 또는 본 발명이 속하는 기술 분야에서 잘 알려진 임의의 형태의 컴퓨터 판독가능 기록매체에 상주할 수도 있다.
이상, 첨부된 도면을 참조로 하여 본 발명의 실시예를 설명하였지만, 본 발명이 속하는 기술분야의 통상의 기술자는 본 발명이 그 기술적 사상이나 필수적인 특징을 변경하지 않고서 다른 구체적인 형태로 실시될 수 있다는 것을 이해할 수 있을 것이다. 그러므로, 이상에서 기술한 실시예들은 모든 면에서 예시적인 것이며, 제한적이 아닌 것으로 이해해야만 한다.

Claims (10)

  1. 하나 이상의 인스트럭션을 저장하는 메모리; 및
    상기 메모리에 저장된 상기 하나 이상의 인스트럭션을 실행하는 하나 이상의 프로세서를 포함하고,
    상기 하나 이상의 프로세서는 상기 하나 이상의 인스트럭션을 실행함으로써,
    버그 바운티에서 제보된 보안 취약점의 CVSS(Common Vulnerability Scoring System)에 관한 기술적 측면을 평가하고,
    동등한 CVSS 점수를 가진 타 보안 취약점의 블랙마켓 거래 금액 이력 또는 버그 바운티의 포상 금액 이력에 기초하여 상기 보안 취약점의 경제적 측면을 평가하고,
    상기 보안 취약점에 따른 인지도 하락 및 이용자 이탈로 인한 영업 손해에 관한 영업적 측면을 평가하고,
    상기 보안 취약점과 관련한 법규 위반에 따라 예상되는 금전 제재에 관한 법적 측면을 평가하고,
    상기 기술적 측면, 상기 경제적 측면, 상기 영업적 측면, 상기 법적 측면의 평가 결과를 종합하여 상기 보안 취약점에 대한 가치를 평가하되,
    상기 동등한 CVSS 점수를 가진 타 보안 취약점의 블랙마켓 거래 금액 이력 또는 버그 바운티의 포상 금액 이력이 존재하는 경우, 상기 블랙마켓 거래 금액 이력 또는 상기 버그 바운티의 포상 금액 이력에 기초하여 상기 보안 취약점의 경제적 가치 기준을 결정하고,
    상기 동등한 CVSS 점수를 가진 타 보안 취약점의 블랙마켓 거래 금액 이력 또는 버그 바운티의 포상 금액 이력이 존재하지 않는 경우, 상기 보안 취약점에 따른 인지도 하락 및 이용자 이탈로 인한 영업 손해 또는 상기 보안 취약점과 관련한 법규 위반에 따라 예상되는 금전 제재에 기초하여 상기 보안 취약점의 경제적 가치 기준을 결정하고,
    상기 버그 바운티 신청 기업의 인지도, 상기 버그 바운티 대상 제품의 인지도, 및 상기 버그 바운티 대상 제품의 이용자 수에 따른 소정의 가중치를 결정하고,
    상기 버그 바운티 신청 기업의 인지도는 조사기관에 의해 사전에 조사된 상기 신청 기업의 인지도 정보에 기초하여 매우 높음(top), 높음(high), 보통(medium), 낮음(low) 중 하나로 결정하고, 상기 버그 바운티 대상 제품의 인지도는 조사기관에 의해 사전에 조사된 상기 대상 제품의 인지도 정보에 기초하여 매우 높음, 높음, 보통, 낮음 중 하나로 결정하고, 상기 버그 바운티 대상 제품의 이용자 수는 일 평균 이용자 수를 기준으로 100만명 이상, 10만명 이상 100만명 미만, 1만명 이상 10만명 미만, 1만명 미만 중 하나로 결정하고,
    상기 버그 바운티 신청 기업의 인지도에 따른 제1 가중치, 상기 버그 바운티 대상 제품의 인지도에 따른 제2 가중치 또는 상기 버그 바운티 대상 제품의 이용자 수에 따른 제3 가중치 중 최대값을 상기 소정의 가중치로 결정하고,
    상기 보안 취약점의 경제적 가치 기준에 상기 소정의 가중치를 적용하여 상기 보안 취약점에 대한 가치를 최종 평가하는 것을 특징으로 하는,
    버그 바운티에서 제보된 보안 취약점에 대한 가치 평가 장치.
  2. 제1항에 있어서,
    상기 하나 이상의 프로세서는,
    상기 보안 취약점의 CVSS 점수에 기초하여 상기 보안 취약점에 대응하는 위험군을 저위험군, 중위험군, 고위험군, 치명적 위험군 중 하나로 결정하고,
    상기 동등한 CVSS 점수를 가진 타 보안 취약점은 상기 보안 취약점과 동일한 위험군에 속하는 타 보안 취약점인,
    버그 바운티에서 제보된 보안 취약점에 대한 가치 평가 장치.
  3. 제2항에 있어서,
    상기 하나 이상의 프로세서는,
    상기 타 보안 취약점의 블랙마켓 거래 정보 및 상기 버그 바운티의 포상 금액 이력을 외부 서버로부터 수신하여 일정 시간마다 업데이트하고,
    상기 블랙마켓 거래 정보는 상기 타 보안 취약점의 CVSS 점수, 상기 타 보안 취약점의 카테고리, 상기 타 보안 취약점의 블랙마켓 거래 금액 이력을 포함하는,
    버그 바운티에서 제보된 보안 취약점에 대한 가치 평가 장치.
  4. 제3항에 있어서,
    상기 하나 이상의 프로세서는,
    동등한 CVSS 점수를 가진 타 보안 취약점의 블랙마켓 거래 금액 이력 또는 버그 바운티의 포상 금액 이력이 둘 이상 존재하는 경우,
    거래 또는 포상 일자가 최신에 해당하는 이력에 기재된 금액에 기초하여 또는 각각의 금액을 더한 평균 값에 기초하여 상기 보안 취약점의 경제적 가치 기준을 결정하는,
    버그 바운티에서 제보된 보안 취약점에 대한 가치 평가 장치.
  5. 제4항에 있어서,
    상기 하나 이상의 프로세서는,
    동등하지 않은 CVSS 점수를 가진 타 보안 취약점의 블랙마켓 거래 금액 이력 또는 버그 바운티의 포상 금액 이력에 기초하여 상기 보안 취약점의 경제적 측면을 평가하고,
    상기 동등하지 않은 CVSS 점수를 가진 타 보안 취약점의 블랙마켓 거래 금액 이력 또는 버그 바운티의 포상 금액 이력과 상기 보안 취약점과 상기 동등하지 않은 CVSS 점수를 가진 타 보안 취약점의 CVSS 점수 간의 비율에 기초하여 상기 보안 취약점의 경제적 가치 기준을 결정하는,
    버그 바운티에서 제보된 보안 취약점에 대한 가치 평가 장치.
  6. 가치 평가 장치에 의해서 수행되는 방법으로서,
    버그 바운티에서 제보된 보안 취약점의 CVSS(Common Vulnerability Scoring System)에 관한 기술적 측면을 평가하는 단계;
    동등한 CVSS 점수를 가진 타 보안 취약점의 블랙마켓 거래 금액 이력 또는 버그 바운티의 포상 금액 이력에 기초하여 상기 보안 취약점의 경제적 측면을 평가하는 단계;
    상기 보안 취약점에 따른 인지도 하락 및 이용자 이탈로 인한 영업 손해에 관한 영업적 측면을 평가하는 단계;
    상기 보안 취약점과 관련한 법규 위반에 따라 예상되는 금전 제재에 관한 법적 측면을 평가하는 단계; 및
    상기 기술적 측면, 상기 경제적 측면, 상기 영업적 측면, 상기 법적 측면의 평가 결과를 종합하여 상기 보안 취약점에 대한 가치를 평가하는 단계를 포함하고,
    상기 보안 취약점에 대한 가치를 평가하는 단계는,
    상기 동등한 CVSS 점수를 가진 타 보안 취약점의 블랙마켓 거래 금액 이력 또는 버그 바운티의 포상 금액 이력이 존재하는 경우, 상기 블랙마켓 거래 금액 이력 또는 상기 버그 바운티의 포상 금액 이력에 기초하여 상기 보안 취약점의 경제적 가치 기준을 결정하는 단계와,
    상기 동등한 CVSS 점수를 가진 타 보안 취약점의 블랙마켓 거래 금액 이력 또는 버그 바운티의 포상 금액 이력이 존재하지 않는 경우, 상기 보안 취약점에 따른 인지도 하락 및 이용자 이탈로 인한 영업 손해 또는 상기 보안 취약점과 관련한 법규 위반에 따라 예상되는 금전 제재에 기초하여 상기 보안 취약점의 경제적 가치 기준을 결정하는 단계와,
    상기 버그 바운티 신청 기업의 인지도, 상기 버그 바운티 대상 제품의 인지도, 및 상기 버그 바운티 대상 제품의 이용자 수에 따른 소정의 가중치를 결정하는 단계와,
    상기 버그 바운티 신청 기업의 인지도는 조사기관에 의해 사전에 조사된 상기 신청 기업의 인지도 정보에 기초하여 매우 높음(top), 높음(high), 보통(medium), 낮음(low) 중 하나로 결정하고, 상기 버그 바운티 대상 제품의 인지도는 조사기관에 의해 사전에 조사된 상기 대상 제품의 인지도 정보에 기초하여 매우 높음, 높음, 보통, 낮음 중 하나로 결정하고, 상기 버그 바운티 대상 제품의 이용자 수는 일 평균 이용자 수를 기준으로 100만명 이상, 10만명 이상 100만명 미만, 1만명 이상 10만명 미만, 1만명 미만 중 하나로 결정하는 단계와,
    상기 버그 바운티 신청 기업의 인지도에 따른 제1 가중치, 상기 버그 바운티 대상 제품의 인지도에 따른 제2 가중치 또는 상기 버그 바운티 대상 제품의 이용자 수에 따른 제3 가중치 중 최대값을 상기 소정의 가중치로 결정하는 단계와,
    상기 보안 취약점의 경제적 가치 기준에 상기 소정의 가중치를 적용하여 상기 보안 취약점에 대한 가치를 최종 평가하는 단계를 포함하는 것을 특징으로 하는,
    버그 바운티에서 제보된 보안 취약점에 대한 가치 평가 방법.
  7. 제6항에 있어서,
    상기 보안 취약점의 기술적적 측면을 평가하는 단계는,
    상기 보안 취약점의 CVSS 점수에 기초하여 상기 보안 취약점에 대응하는 위험군을 저위험군, 중위험군, 고위험군, 치명적 위험군 중 하나로 결정하는 단계를 포함하고,
    상기 동등한 CVSS 점수를 가진 타 보안 취약점은 상기 보안 취약점과 동일한 위험군에 속하는 타 보안 취약점인,
    버그 바운티에서 제보된 보안 취약점에 대한 가치 평가 방법.
  8. 제7항에 있어서,
    상기 보안 취약점의 경제적 측면을 평가하는 단계는,
    상기 타 보안 취약점의 블랙마켓 거래 정보 및 상기 버그 바운티의 포상 금액 이력을 외부 서버로부터 수신하여 일정 시간마다 업데이트하는 단계를 포함하고,
    상기 블랙마켓 거래 정보는 상기 타 보안 취약점의 CVSS 점수, 상기 타 보안 취약점의 카테고리, 상기 타 보안 취약점의 블랙마켓 거래 금액 이력을 포함하는,
    버그 바운티에서 제보된 보안 취약점에 대한 가치 평가 방법.
  9. 제8항에 있어서,
    상기 보안 취약점에 대한 가치를 평가하는 단계는,
    동등한 CVSS 점수를 가진 타 보안 취약점의 블랙마켓 거래 금액 이력 또는 버그 바운티의 포상 금액 이력이 둘 이상 존재하는 경우,
    거래 또는 포상 일자가 최신에 해당하는 이력에 기재된 금액에 기초하여 또는 각각의 금액을 더한 평균 값에 기초하여 상기 보안 취약점의 경제적 가치 기준을 결정하는 단계를 포함하는,
    버그 바운티에서 제보된 보안 취약점에 대한 가치 평가 방법.
  10. 제9항에 있어서,
    상기 보안 취약점에 대한 가치를 평가하는 단계는,
    동등하지 않은 CVSS 점수를 가진 타 보안 취약점의 블랙마켓 거래 금액 이력 또는 버그 바운티의 포상 금액 이력에 기초하여 상기 보안 취약점의 경제적 측면을 평가하고,
    상기 동등하지 않은 CVSS 점수를 가진 타 보안 취약점의 블랙마켓 거래 금액 이력 또는 버그 바운티의 포상 금액 이력과 상기 보안 취약점과 상기 동등하지 않은 CVSS 점수를 가진 타 보안 취약점의 CVSS 점수 간의 비율에 기초하여 상기 보안 취약점의 경제적 가치 기준을 결정하는 단계를 포함하는,
    버그 바운티에서 제보된 보안 취약점에 대한 가치 평가 방법.
KR1020230120771A 2023-09-12 2023-09-12 보안 취약점에 대한 가치 평가 방법 및 장치 KR102608923B1 (ko)

Priority Applications (1)

Application Number Priority Date Filing Date Title
KR1020230120771A KR102608923B1 (ko) 2023-09-12 2023-09-12 보안 취약점에 대한 가치 평가 방법 및 장치

Applications Claiming Priority (1)

Application Number Priority Date Filing Date Title
KR1020230120771A KR102608923B1 (ko) 2023-09-12 2023-09-12 보안 취약점에 대한 가치 평가 방법 및 장치

Publications (1)

Publication Number Publication Date
KR102608923B1 true KR102608923B1 (ko) 2023-12-01

Family

ID=89124332

Family Applications (1)

Application Number Title Priority Date Filing Date
KR1020230120771A KR102608923B1 (ko) 2023-09-12 2023-09-12 보안 취약점에 대한 가치 평가 방법 및 장치

Country Status (1)

Country Link
KR (1) KR102608923B1 (ko)

Cited By (1)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
CN118643503A (zh) * 2024-08-15 2024-09-13 云南青才信息科技有限公司 一种电力信息系统检测方法及系统

Citations (5)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
KR100955281B1 (ko) 2007-10-18 2010-04-30 한국정보보호진흥원 위협 관리를 위한 보안 위험도 평가 방법
JP6676480B2 (ja) * 2016-06-13 2020-04-08 株式会社日立製作所 脆弱性リスク評価システム
KR20210065687A (ko) * 2019-11-27 2021-06-04 국방과학연구소 시스템 운용 상태 정보를 이용한 사이버 자산 피해 분석 장치, 방법, 기록 매체 및 컴퓨터 프로그램
KR20220036312A (ko) * 2020-09-15 2022-03-22 삼성에스디에스 주식회사 가상 컴퓨팅 환경의 제공 방법, 그리고 이를 구현하기 위한 장치
KR20220166870A (ko) * 2020-04-22 2022-12-19 노름쉴드, 인코퍼레이티드 컴퓨터 시스템의 확장 가능한 사이버 리스크 평가를 위한 시스템 및 방법

Patent Citations (5)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
KR100955281B1 (ko) 2007-10-18 2010-04-30 한국정보보호진흥원 위협 관리를 위한 보안 위험도 평가 방법
JP6676480B2 (ja) * 2016-06-13 2020-04-08 株式会社日立製作所 脆弱性リスク評価システム
KR20210065687A (ko) * 2019-11-27 2021-06-04 국방과학연구소 시스템 운용 상태 정보를 이용한 사이버 자산 피해 분석 장치, 방법, 기록 매체 및 컴퓨터 프로그램
KR20220166870A (ko) * 2020-04-22 2022-12-19 노름쉴드, 인코퍼레이티드 컴퓨터 시스템의 확장 가능한 사이버 리스크 평가를 위한 시스템 및 방법
KR20220036312A (ko) * 2020-09-15 2022-03-22 삼성에스디에스 주식회사 가상 컴퓨팅 환경의 제공 방법, 그리고 이를 구현하기 위한 장치

Cited By (1)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
CN118643503A (zh) * 2024-08-15 2024-09-13 云南青才信息科技有限公司 一种电力信息系统检测方法及系统

Similar Documents

Publication Publication Date Title
US11924237B2 (en) Digital asset based cyber risk algorithmic engine, integrated cyber risk methodology and automated cyber risk management system
US10230746B2 (en) System and method for evaluating network threats and usage
CN113542279B (zh) 一种网络安全风险评估方法、系统及装置
US8775402B2 (en) Trusted query network systems and methods
CN109831465A (zh) 一种基于大数据日志分析的网站入侵检测方法
AU2015284044A1 (en) Systems and methods for dynamically detecting and preventing consumer fraud
WO2002079907A2 (en) Overall risk in a system
CN104011731A (zh) 用户行为风险评估
CN108876188B (zh) 一种间连服务商风险评估方法及装置
Allodi et al. Quantitative assessment of risk reduction with cybercrime black market monitoring
CN110401660B (zh) 虚假流量的识别方法、装置、处理设备及存储介质
Anjum et al. Assessment of software vulnerabilities using best-worst method and two-way analysis
KR102384542B1 (ko) 위험도 분포의 상세 분석을 통한 종합 위험도 분석 방법, 장치 및 프로그램
CN113792298A (zh) 车辆安全风险检测的方法及装置
Sukri et al. Risk Management Analysison Administration System Using Octave Allegro Framework
CN110826837A (zh) 一种网站资产实时风险的评估方法、装置及存储介质
KR102608923B1 (ko) 보안 취약점에 대한 가치 평가 방법 및 장치
Kaushik A systematic approach to develop an advanced insider attacks detection module
CN116881931A (zh) 漏洞评估方法、电子设备及存储介质
US20140359780A1 (en) Anti-cyber attacks control vectors
KR101872406B1 (ko) 악성코드들의 위험도를 정량적으로 결정하는 장치 및 방법
CN109743303B (zh) 应用保护方法、装置、系统和存储介质
Shah et al. Chrome Extension for Detecting Phishing Websites
Rudolph et al. Security indicators–a state of the art survey public report
CN115001759B (zh) 一种访问信息处理方法、装置、电子设备和可读存储介质

Legal Events

Date Code Title Description
E701 Decision to grant or registration of patent right
GRNT Written decision to grant