솔루션 하나를 구매하서 수정을 하던중에, 특정 부분에 대한 보안 취약점을 발견하였습니다.
회사에다가 메일을 보낼까 하다가,, 괜히 나쁜 사람으로 인식될수도 있어서,,,
취약점 발견시 어떻게 개선하는 게 좋을지 고민하여 아래와 같이 진행을 해보았습니다.
1. https://knvd.krcert.or.kr/ 사이트가 있습니다.
- KISA에 운영하는 보호나라에서 보안취약점 관련된 부분만 따로 떼어서 사이트를 만든것 같네요.
- 여기서 취약점 신고를 하면, 경우에 따라서 보상금도 지급을 하는것 같습니다.
2. 신청서 양식이 좀 많은데, 설명도 하고, 캡쳐도 넣어야 합니다.
- 상황 발생 조건과 재현 방법 등을 설명하고, 액션별로 스크린샷을 만들었습니다.
- 처음 등록시에 뭔가 순서를 빼먹어서 다시 했는데,,, 2시간 정도 걸린것 같네요. (글쓰는거 힘듦)
3. 신고를 완료하고, 응답이 오기를 기다렸습니다.
- 한 2주쯤 걸릴줄 알았는데,,, 인원이 부족한건지,,, 중요도가 떨어져서 그런건지 2달쯤 걸린것 같네요.
- 홈페이지 신고 결과가 완료로만 뜨고, 다른 내용은 조회가 안됩니다.
- 어떻게 조치가 되었는지 알수가 없네요.. 거절이 된건지 정상 완료된건지....
4. 전화를 해봤습니다.
- 피같은 2시간을 투자해서 신고를 했는데,,, 완료라는 텍스트 한줄만 보는건 아닌것 같아 전화를 하였습니다.
- 홈페이지 하단에 있는 번호로 전화를 했더니,, 담당이 아니라고 해서 알려준 번호를 다시 전화를 했더니 연결되었습니다.
- 이런저런 부분을 신고했고, 결과가 완료인데,,, 어떻게 완료된건지 알수가 없다라고 하니,,,
- 결과가 원래 메일로 발송된다고 하는데,,, 발송이 안된것 같다고 합니다.(뭐 그렇다고 합니다.)
5. 진행결과
- 완료 된 상태임으로 해당 보안 취약점은 업체에 전달되었고,, 업체에서 패치되었다고 확인이 되었습니다.
- 그러니까 상태가 -> 완료로 변경되었다는것은 업체가 보안패치까지 완료 해야 변경된다고 합니다.(중간 상태도 좀 넣지..)
- 자세한건 메일로 재발송해준다고 해서 확인을 하였습니다.
6. 업체 공지 확인
- 업체 솔루션 업데이트 내역에 보안패치관련 부분은 없습니다.
- 고의적으로 누락한걸로 보입니다. KISA는 보안 패치했다는 회신을 받았다고 했거든요.
- 이부분은 KISA에 다시한번 요청을 해두었습니다.
- 보안 패치는 기존 사용자들도 해당됨으로 단순 업데이트 해두면 업데이트 안하는 사용자가 더 많습니다.
결론) 시간 낭비함.
댓글 9개
게시글 목록
| 번호 | 제목 |
|---|---|
| 1717438 | |
| 1717431 | |
| 1717422 | |
| 1717414 | |
| 1717412 | |
| 1717407 | |
| 1717401 | |
| 1717393 | |
| 1717386 | |
| 1717379 | |
| 1717378 | |
| 1717365 | |
| 1717364 | |
| 1717360 | |
| 1717359 | |
| 1717346 | |
| 1717344 | |
| 1717333 | |
| 1717327 | |
| 1717313 | |
| 1717312 | |
| 1717310 | |
| 1717307 | |
| 1717306 | |
| 1717304 | |
| 1717291 | |
| 1717283 | |
| 1717280 | |
| 1717268 | |
| 1717265 |
댓글 작성
댓글을 작성하시려면 로그인이 필요합니다.
로그인하기