솔루션 하나를 구매하서 수정을 하던중에, 특정 부분에 대한 보안 취약점을 발견하였습니다.
회사에다가 메일을 보낼까 하다가,, 괜히 나쁜 사람으로 인식될수도 있어서,,,
취약점 발견시 어떻게 개선하는 게 좋을지 고민하여 아래와 같이 진행을 해보았습니다.
1. https://knvd.krcert.or.kr/ 사이트가 있습니다.
- KISA에 운영하는 보호나라에서 보안취약점 관련된 부분만 따로 떼어서 사이트를 만든것 같네요.
- 여기서 취약점 신고를 하면, 경우에 따라서 보상금도 지급을 하는것 같습니다.
2. 신청서 양식이 좀 많은데, 설명도 하고, 캡쳐도 넣어야 합니다.
- 상황 발생 조건과 재현 방법 등을 설명하고, 액션별로 스크린샷을 만들었습니다.
- 처음 등록시에 뭔가 순서를 빼먹어서 다시 했는데,,, 2시간 정도 걸린것 같네요. (글쓰는거 힘듦)
3. 신고를 완료하고, 응답이 오기를 기다렸습니다.
- 한 2주쯤 걸릴줄 알았는데,,, 인원이 부족한건지,,, 중요도가 떨어져서 그런건지 2달쯤 걸린것 같네요.
- 홈페이지 신고 결과가 완료로만 뜨고, 다른 내용은 조회가 안됩니다.
- 어떻게 조치가 되었는지 알수가 없네요.. 거절이 된건지 정상 완료된건지....
4. 전화를 해봤습니다.
- 피같은 2시간을 투자해서 신고를 했는데,,, 완료라는 텍스트 한줄만 보는건 아닌것 같아 전화를 하였습니다.
- 홈페이지 하단에 있는 번호로 전화를 했더니,, 담당이 아니라고 해서 알려준 번호를 다시 전화를 했더니 연결되었습니다.
- 이런저런 부분을 신고했고, 결과가 완료인데,,, 어떻게 완료된건지 알수가 없다라고 하니,,,
- 결과가 원래 메일로 발송된다고 하는데,,, 발송이 안된것 같다고 합니다.(뭐 그렇다고 합니다.)
5. 진행결과
- 완료 된 상태임으로 해당 보안 취약점은 업체에 전달되었고,, 업체에서 패치되었다고 확인이 되었습니다.
- 그러니까 상태가 -> 완료로 변경되었다는것은 업체가 보안패치까지 완료 해야 변경된다고 합니다.(중간 상태도 좀 넣지..)
- 자세한건 메일로 재발송해준다고 해서 확인을 하였습니다.
6. 업체 공지 확인
- 업체 솔루션 업데이트 내역에 보안패치관련 부분은 없습니다.
- 고의적으로 누락한걸로 보입니다. KISA는 보안 패치했다는 회신을 받았다고 했거든요.
- 이부분은 KISA에 다시한번 요청을 해두었습니다.
- 보안 패치는 기존 사용자들도 해당됨으로 단순 업데이트 해두면 업데이트 안하는 사용자가 더 많습니다.
결론) 시간 낭비함.
댓글 9개
게시글 목록
| 번호 | 제목 |
|---|---|
| 1717629 | |
| 1717626 | |
| 1717625 | |
| 1717621 | |
| 1717619 | |
| 1717611 | |
| 1717610 | |
| 1717609 | |
| 1717607 | |
| 1717601 | |
| 1717598 | |
| 1717591 | |
| 1717590 | |
| 1717583 | |
| 1717575 | |
| 1717572 | |
| 1717568 | |
| 1717566 | |
| 1717549 | |
| 1717545 | |
| 1717533 | |
| 1717512 | |
| 1717511 | |
| 1717508 | |
| 1717495 | |
| 1717479 | |
| 1717473 | |
| 1717470 | |
| 1717463 | |
| 1717452 |
댓글 작성
댓글을 작성하시려면 로그인이 필요합니다.
로그인하기