운영기간: Jul 25, 2022 ~ Sep 2, 2022

2022 사이버보안챌린지

스마트홈 구성요소의 보안 취약점을 찾아내고, 이에 효과적으로 대응할 수 있는 보안기술을 제시하라!

Introduction

본 프로그램은 2022 사이버 보안 챌린지 대회의 예선전 프로그램입니다.

2022 사이버 보안 챌린지 대회는 스마트홈 보호를 위한 다양한 스마트홈 구성요소의 융˙복합 보안 연구를 수행할 우수 연구팀 집중지원을 위해
챌린지 대회에서 선정된 우수팀의 후속연구('23년) 지원을 통한 선도기술 확보를 목적으로 합니다.

예선 대회 취약점 평가 점수를 바탕으로, 합산 점수 상위 8팀이 내외가 본선에 진출합니다.

참여 규칙

  • 2022년 7월 25일(월) 10:00 ~ 2022년 9월 2일(금) 15:00 까지 진행됩니다.
    (이후에 제보된 티켓은 평가하지 않습니다.)
  • 취약점 연구 대상의 주제는 스마트홈 구성요소에 포함되는 모든 Iot 장비입니다.
  • 또한, 스마트홈 구성요소 장비는 직접 공수해 연구를 진행해야하며 별도의 지원은 없습니다.
    (스마트홈 구성요소가 아니라고 판단되는 장비는 평가대상에서 제외됩니다.)
  • 상세 대회 요강은 대회홈페이지를 참고하시기 바랍니다.
  • 티켓 작성 양식에 맞춰 취약점 보고서를 작성합니다.
    (필수 항목 미기재 시 평가 제외 사유가 될 수 있습니다.)

평가 기준

KISA 버그바운티 평가 기준을 기반으로 티켓 내용을 종합적으로 검토하여 평가합니다.

분류 내용
보급도 •보급범위 : 해당 취약점이 발견된 소프트웨어 등 제품의 보급정도를 평가
•제한범위 : 침해가능한 소프트웨어에 대한 제한사항을 평가
공격 영향도 • 영향범위 : 취약한 구성요소를 넘어 다른 권한 또는 자원에 영향을 미칠 수 있는 정도
• 기밀성 : 공격 성공시 영향받는 시스템에 끼치는 기밀성 측면에서의 영향
• 무결성 : 공격 성공시 영향받는 시스템에 끼치는 무결성 측면에서의 영향
• 가용성 : 공격 성공시 영향받는 시스템에 끼치는 무결성 측면에서의 영향
공격 난이도 • 공격벡터 : 공격을 수행하기 위한 경로의 접근 용이성 정도
• 공격복잡도 : 시스템 구성, 특정 설정 등 공격자가 획득해야 하는 전제 조건
• 권한 요구도 : 공격자가 취약점을 공격하기 위해 필요한 권한 수준
• 사용자상호작용 : 취약점을 공격하기 위해 사용자가 수행해야 하는 요구사항
발굴수준 • 발굴 난이도 : 취약점 발굴 시 기술의 난이도
• 문서 완성도 : 신고문서에 대한 내용의 충실도 및 구성의 완성도
(구성의 완성도: 발굴된 취약점의 패치방안을 포함)

유효하지 않은 티켓 예시

  • 참여 규칙을 위반한 제보
  • 다른 곳에 제보한 중복 취약점
  • 이미 제보되어 평가중이거나 패치중인 티켓
  • 취약점의 상세 정보를 확인할 수 없거나, 재현이 불가능한 경우
  • 과도한 사용자 상호작용이 요구되어 실효성이 현격히 떨어지는 경우
  • 패치가 불가능한 대상의 제보
  • 악용 가능성이 없는 단순 버그

참고사항

  • 사이버보안챌린지 2022 예선대회는 한국인터넷진흥원과 공동으로 스마트홈 구성요소에 대한 취약점 집중 신고포상제 형태로 진행됩니다.
    스마트홈 구성요소에 대한 취약점을 발견하여 신고한 예선대회 참가자를 대상으로 한국인터넷진흥원에서 보안 취약점 신고포상금을 지급할 예정입니다.
  • 정보통신망서비스 제공자의 동의 없이 발굴된 웹 사이트나 시스템(서버, 네트워크, 보안장비 등)의 취약점은 평가 대상 제외됩니다.
    (정보통신망 이용촉진 및 정보보호 등에 관한 법률 제48조의 1항, 제71조제1항제9호 및 제2항)
  • 티켓 제출 시 동일 기종 제품을 수급한 뒤 검증이 진행되므로, 유효성 검증 기간이 다소 소요될 수 있습니다.

component_examples