HSPACE 버그바운티
HSPACE Vulnerabilities and Exposures (HVE)
HSPACE HYPERSONIC, KNIGHTS, KNIGHTS FRONTIER 베타 운영을 거쳐 전체 회원으로 확대합니다.
1. 프로그램 소개
HSPACE는 보안 연구 커뮤니티와 회원에게 선의의 취약점 발견 활동을 수행하기 위한 명확한 지침을 제공하고, 발견된 취약점을 당사에 제출하는 방법을 안내하기 위해 본 버그바운티 프로그램을 운영합니다.
본 정책에서는 프로그램의 적용을 받는 시스템과 허용되는 연구 방법, 취약점 제보 및 포상 절차, 그리고 취약점을 공개적으로 공개하기 전에 보안 연구자에게 요청하는 사항에 대해 설명합니다.
보안 연구 중에 본 정책을 준수하기 위해 선의로 노력하는 경우, 해당 연구를 본 정책에 의해 승인된 활동으로 간주하며, 문제를 신속하게 이해하고 해결하기 위해 보안 연구자와 적극적으로 협력할 것입니다.
발견된 취약점에는 HVE(HSPACE Vulnerabilities and Exposures) 고유 식별번호가 부여되어 체계적으로 추적·관리됩니다.
2. 점검 대상 범위(In-Scope)
대상
URL
유형
메인 서비스
*.hspace.io/
웹 애플리케이션
FORGE(CTF 플랫폼)
forge.hspace.io
웹 애플리케이션
위 대상의 하위 경로 및 API 엔드포인트가 모두 점검 범위에 포함됩니다.
3. 점검 대상 제외 범위(Out-of-Scope)
3.1 제외 대상 시스템
- 위 In-Scope에 명시되지 않은 HSPACE 소유 도메인 및 서비스
- 서드파티 서비스 및 연동된 외부 시스템
3.2 제외 취약점 유형
- 서비스 가용성에 영향을 주는 서비스 거부(DoS/DDoS) 공격
- 자동화 스캐닝 도구의 원시 결과만을 첨부한 제보
- 공격 시나리오 또는 실제 파급력이 입증되지 않은 이론적 취약점
- 재현이 불가능한 취약점
- 사용자 기기에서만 동작하는 클라이언트 측 취약점
- 구 버전 라이브러리 또는 소프트웨어 사용 사실 자체 (실질적 위협이 입증되지 않은 경우)
- 횟수 제한(Rate Limiting) 미적용
- 보안에 영향을 주지 않는 UI/UX 버그
- HTTP 보안 헤더(X-Frame-Options, CSP 등) 미설정 단순 지적
- 관리자 페이지 경로 노출 (접근 불가 시)
- 디버깅 정보 또는 스택 트레이스 노출 (민감 정보가 포함되지 않은 경우)
- Self-XSS (본인 계정에서만 동작하며 타 사용자에게 영향 없는 경우)
- 이미 제보되었거나 내부적으로 인지하고 있는 취약점
4. 취약점 등급 및 포상금
취약점의 위험도는 심각도 및 실제 파급력을 종합적으로 평가하여 아래 등급으로 분류합니다. 포상금은 취약점의 위험도 등급, 공격 복잡성, 파급 범위, 제보 보고서의 품질을 종합하여 책정됩니다.
등급
CVSS 점수
포상금 범위
Critical
9.0 ~ 10.0
800,000~2,000,000
High
7.0 ~ 8.9
300,000~800,000
Medium
4.0 ~ 6.9
100,000~300,000
Low
0.1 ~ 3.9
50,000~100,000
Info
0 ~ 0
0~50,000
등급 설명
- Critical : 서비스 전체 또는 다수 사용자에게 즉각적이고 치명적인 피해를 야기할 수 있는 취약점입니다. 공격자가 별도의 인증 없이 또는 최소한의 상호작용만으로 시스템을 완전히 장악하거나, 대규모 데이터 유출을 일으킬 수 있는 수준의 위협에 해당합니다.
- High : 개별 사용자 또는 특정 기능에 심각한 영향을 미칠 수 있는 취약점입니다. 공격에 일정 수준의 조건이 필요하지만, 성공 시 중요한 데이터 접근이나 권한 탈취가 가능합니다.
- Medium : 특정 조건이나 사용자 상호작용이 필요하지만, 성공 시 부분적인 데이터 유출이나 서비스 무결성 훼손이 가능한 취약점입니다.
- Low : 실질적인 공격 성공을 위해 다수의 전제 조건이 필요하거나, 성공하더라도 피해 범위가 제한적인 취약점입니다.
- Info : 서비스 개선에 도움이 되거나 영향도가 미미한 취약점입니다.
5. 제보 절차
5.1 제보 방법
취약점 제보는 아래 폼으로 접수합니다.
5.2 보고서 필수 포함 항목
보고서의 품질은 포상금 산정에 직접적인 영향을 미칩니다. 다음 항목을 모두 포함하여 작성해 주십시오.
- 취약점 유형: 취약점의 분류 (예: RCE, SQLi, XSS, IDOR 등)
- 대상 URL/엔드포인트: 취약점이 발생하는 정확한 위치
- 재현 절차(PoC): 단계별 상세 재현 방법 (스크린샷, 동영상, 코드 포함 권장)
- 공격 Payload: 사용한 페이로드 원문(따로 스크립트 파일 첨부하여 압축 권장)
- 공격 환경: OS, 브라우저, 도구 버전 등 테스트 환경 정보
- 파급력 분석: 해당 취약점이 악용될 경우 발생 가능한 구체적 피해 시나리오
- 대응 방안 제안: 취약점에 대한 권장 수정 방향 (선택사항이나 평가에 가점)
- 권장 포맷 : Markdown, PDF, Word
5.3 처리 절차
단계
내용
예상 소요기간
접수 확인
제보 접수 사실 확인 및 HVE 번호 부여
수신일 기준 7일 이내
유효성 검증
취약점 재현 및 신규 여부 판단
수신일 기준 14일 이내
등급 평가
CVSS 기반 위험도 산정 및 포상금 책정
검증 완료 후 5일 이내
조치 및 패치
취약점 수정 및 배포
위험도에 따라 상이
포상금 지급
패치 완료 및 이행 점검 후 지급
조치 완료 후 협의(매달 25일 지급)
제보 내용만으로 검증이 불충분한 경우 보완을 요청할 수 있으며, 보완 요청에 대한 응답이 30일 이내에 없을 경우 해당 건은 종료 처리됩니다.
6. 프로그램 규칙 및 금지 행위
6.1 참가자 준수 사항
- HSPACE가 허용한 대상 범위(In-Scope) 내에서만 취약점을 분석하고 제보해야 합니다.
- 발견된 취약점은 HSPACE의 패치가 완료될 때까지 외부에 공개할 수 없습니다. 다만, 패치가 완료되고 HSPACE가 조치 완료를 통보한 이후에는 제보자가 해당 취약점에 대한 기술적 분석 내용을 자유롭게 외부에 공개할 수 있습니다.
- HSPACE는 보안 연구 결과의 공유가 커뮤니티 전체의 보안 수준을 높이는 데 기여한다고 믿으며, 책임 있는 공개(Responsible Disclosure)를 적극 지지합니다.
- 동일 취약점이 중복 제보된 경우, 최초 제보자에게 포상금이 지급됩니다.
- 취약점 검증 과정에서 접근한 데이터는 즉시 삭제해야 하며, 제3자에게 공유할 수 없습니다.
6.2 금지 행위
다음 행위는 엄격히 금지되며, 위반 시 참가 자격 박탈 및 법적 조치가 취해질 수 있습니다.
- 서비스 가용성에 영향을 주는 행위 (DoS, DDoS, 대량 트래픽 유발 등)
- 타 사용자의 데이터 열람, 수정, 삭제 또는 무분별한 탈취 시도
- 사회공학적 공격(피싱, 소셜 엔지니어링) 수행
- 물리적 공격 시도
- 자동화 스캐닝 도구를 이용한 대량의 무차별적 공격
- 취약점을 이용하여 서비스 또는 데이터에 실질적 피해를 가하는 행위
- 발견한 취약점을 제3자에게 공유하거나 외부에 사전 공개하는 행위
7. 명예의 전당 (Hall of Fame)
HSPACE 서비스 보안에 기여한 보안 연구자는 본인의 동의 하에 명예의 전당에 등재됩니다. 명예의 전당에는 연구자명(또는 핸들), 발견 취약점의 HVE 번호 및 등급, 제보 일자가 기재됩니다.
8. HVE 식별번호 체계
HSPACE는 접수된 모든 유효 취약점에 대해 다음과 같은 형식의 고유 식별번호를 부여합니다.
- 형식: HVE-YYYY-NNNN
- YYYY: 취약점이 접수된 연도
- NNNN: 해당 연도의 일련번호 (0001부터 순차 부여) - 예시: HVE-2026-0001, HVE-2026-0042
HVE 번호는 접수 확인 단계에서 부여되며, 취약점의 추적·관리·공개 시 사용됩니다.
9. 문의
버그바운티 프로그램에 관한 문의사항은 아래로 연락해 주십시오.
본 프로그램의 내용은 사전 고지 없이 변경될 수 있으며, 변경 사항은 본 페이지를 통해 공지됩니다.