1. 취약점 발굴 허용 대상자

본 기업은 아래 사항을 모두 충족한 정보보호연구자에 한하여 취약점 발견을 허용합니다.

(1) 만 19세 이상의 대한민국 국적자(시범사업 참가 신청일 기준)
(2) 시범사업 참가 신청서를 제출한 자
(3) 개인정보 수집·이용 동의서를 제출한 자
(4) 시범사업 관련 교육을 이수한 자
(5) 취약점 신고·공개 정책 준수 서약서를 제출한 자
(6) 개인정보보호법에 따라 개인정보처리위탁 계약을 체결한 자

2. 취약점 발굴 허용 범위

본 기업은 한국인터넷진흥원이 제공하는 VPN을 통해서만 서비스 취약점 발굴 행위를 허용하며, 본 기업이 취약점 발견을 허용하는 범위는 아래와 같습니다.

(1) 윈도우 11 OS에 설치한 공개용 알약 2.5, 3.0 어플리케이션
  - 취약점 발굴 불가 범위(어플리케이션과 연관된 인프라, 네트워크 및 서드파티 서비스, 모바일 보안 알약 앱)

3. 취약점 발견 허용 기간

본 기업이 정보보호연구자에게 취약점 발견을 허용하는 기간은 2026년 6월 29일부터 2026년 7월 21일까지입니다.

4. 취약점 신고 및 접수

(1) 신고 방법 :
  - 한국인터넷진흥원(파인더갭) (https://hacker.findthegap.co.kr/)
  - 포털 비회원일 경우는 회원가입 필수

(2) 신고자 정보 : 이름, 휴대전화번호, 이메일 등 사이버 보안 취약점 정보 포털 내 취약점 신고에 필요한 사항 (취약점별 1인 신고만 가능)

(3) 신고 기한
정보보호연구자는 취약점을 발견할 경우, 취약점을 발견한 때부터 72시간 이내에 신고해야 하며, 발견 취약점을 통해 정보보호연구자가 정보통신망에 침입한 경우에는 취약점 발견 행위를 즉시 중단하고 망에 침입한 때부터 12시간 이내에 신고해야 합니다.
  ※ 망에 침입한 때 : 취약점 공격이 성공하여 망에 침입한 시점

(4) 신고 내용
정보보호연구자는 취약점이 발견된 서비스 또는 제품명, 취약점 발견 일시, 취약점 증명 내용(PoC, Proof of Concept), 취약점 악용 시나리오, 망침입 시점(해당하는 경우) 등을 제출해야 합니다.

(5) 신고 취약점 공유
본 기업은 한국인터넷진흥원으로부터 취약점 신고자 정보 및 취약점 내용을 공유받은 후, 취약점 조치를 목적으로 관련 서비스 사업자 또는 디지털제품·소프트웨어의 제조사·유통사·수입사 등 공급사에게 취약점 내용을 공유할 수 있습니다(취약점 신고자 정보는 공급사 공유에서 제외).

5. 유효 취약점 제외 대상

본 기업은 신고받은 취약점이 아래의 유효 취약점 제외 대상에 포함될 경우, 취약점 조치 및 공개 대상에서 제외할 수 있으며 제외된 사유를 한국인터넷진흥원으로부터 공유받은 날로부터 14일 이내에 정보보호연구자에게 안내합니다.

(1) 취약점이 재현되지 않는 경우
(2) 너무 많은 사용자의 개입 또는 사용자의 극단적인 개입이 필요한 경우
(3) 보안 기능을 끄고 취약점을 발생시킨 경우
(4) 구체적인 증빙 없이 가능성만을 신고한 경우
(5) 동일 취약점이 중복으로 신고된 경우
(6) 상위 2에 (1)의 취약점 발굴 불가 범위의 취약점인 경우

6. 취약점 공개

(1) 공개 가능 시기
  ① 정보보호연구자는 본 기업이 한국인터넷진흥원으로부터 취약점 신고내용을 공유받은 날부터 120일이 경과한 후 해당 취약점을 공개할 수 있습니다.
  ② 본 기업은 한국인터넷진흥원으로부터 취약점 신고내용을 공유받은 날부터 120일 이내에 패치 등 보안 조치를 한 이후 해당 취약점을 공개합니다.
  ③ 본 기업은 정보보호연구자의 문의가 있을 경우 보안 조치 진행상황을 알려줍니다.
  ④ 취약점 공개 위치는 KISA(https://knvd.krcert.or.kr)이며, 정보보호연구자가 희망할 경우 취약점 발견자를 실명 또는 익명으로 명시할 수 있습니다.
  ⑤ 본 기업은 취약점 공개 가능 시기가 도래하기 전에 정보보호연구자에게 공개 시기를 알릴 수 있습니다.
  ⑥ 정보보호연구자는 신고한 취약점을 공개하기 전에 본 기업과 합의하여야 합니다.
  ⑦ 본 기업의 알약 공개용 2.5 어플리케이션은 CVD/VDP 시범 사업 기간 내에 EOS 될 수도 있습니다. 만약 EOS가 되면 발견된 취약점의 조치는 알약 공개용 2.5버전의 어플리케이션을 배포하지 않는 것으로 대체합니다.

(2) 공개 시기 연기
  ① 본 기업은 (1)에도 불구하고 취약점에 대한 보안조치를 위해 정보보호연구자에게 공개시기 연기를 요청할 수 있습니다. 이때 연기 기간은 60일 이내에서 본 기업과 정보보호연구자 간 협의를 통해 정합니다.
  ② 본 기업이 정보보호연구자에게 공개 시기 연기를 요청할 경우 그 사유를 설명합니다.

7. 준수사항

(1) 정보보호연구자는 본 기업의 취약점 신고·공개 정책을 준수하는 범위 내에서만 정보통신망법 제48조 제1항에 따른 '접근권한'을 부여받은 것으로 봅니다. 본 기업은 정보보호연구자가 이 취약점 신고·공개 정책을 위반하는 경우 정보통신망법 제48조 제1항에 따른 침입행위를 한 것으로 간주합니다.

(2) 정보보호연구자가 개인정보보호법에 부합하기 위해서는 본 기업의「취약점 신고·공개 정책」과 「개인정보처리위탁 계약서」에서 정한 사항을 준수해야 하며, 내용이 상충하는 경우, 개인정보 보호에 관한 사항은 본 계약이, 그 외의 사항은 VDP가 우선합니다.

(3) 취약점을 발견하는 과정 중에「개인정보 보호법」에 따른 개인정보, 「신용정보의 이용 및 보호에 관한 법률」에 따른 신용정보, 「부정경쟁방지 및 영업비밀보호에 관한 법률」에 따른 영업비밀 등의 정보를 접근 또는 열람하였을 때는, 취약점 발견 활동을 즉시 중단하고 본 기업에게 그 사실을 알려야 합니다. 또한 취약점 증명을 위해 화면캡처 필요 등 불가피한 경우, 반드시 해당 부분을 모자이크 또는 마스킹 처리하여 알아볼 수 없도록 하여야 하며 신고 후 즉시 삭제해야 합니다.

(4) 정보보호연구자는 취약점 발견 행위 중단 이후 취약점 발견 행위 재개와 관련하여서는 본 기업의 승인을 받아야 합니다.

8. 금지사항

(1) 정보보호연구자는 취약점 신고 또는 공개 등과 관련하여 어떠한 금전적인 대가도 요구해서는 안됩니다. 다만, 본 기업이 취약점 신고·포상제도(Bug Bounty)를 운영할 경우에는 그 정책에 따릅니다.

(2) 정보보호연구자는 발견한 취약점을 본 기업 또는 한국인터넷진흥원 이외의 제3자에게 신고하여서는 안되며, 발견한 취약점에 대해 사적 이용 등 VDP의 범위를 벗어난 행위를 하여서는 안됩니다.

(3) 정보보호연구자는 취약점을 발견하는 과정 중 개인정보, 신용정보, 영업비밀 등의 정보를 접근 또는 열람하였을 때는, 접근 또는 열람한 정보를 기록·저장·보유·출력 등 처리하거나 제3자에게 유출(정보가 본 기업의 통제 범위를 벗어나 제3자가 그 내용을 알 수 있는 상태에 이르게 된 것을 총칭한다)하여서는 안됩니다.

(4) 정보보호연구자는 취약점 발견 허용 범위의 프로그램을 취약점 발견 목적 외로 사용하여서는 안되며, 취약점 발견 목적 외로 프로그램 코드를 역분석 하여서는 안됩니다.

(5) 정보보호연구자는 발견한 취약점을 악용하여 악성프로그램 설치, 전달, 또는 유포하여서는 안되며, 정보통신망 서비스, 데이터 또는 프로그램 등을 훼손, 멸실, 변경, 또는 위조하여서는 안됩니다.

(6) 정보보호연구자는 취약점 발견을 위해 디도스 등을 통해 정보통신망 서비스, 디지털제품, 소프트웨어 어플리케이션의 안정적 운영을 훼손하여서는 안됩니다.

(7) 정보보호연구자는 취약점 발견을 위해 피싱, 보이스 피싱 등의 사회공학적 방법을 사용하여서는 안됩니다.

(8) 정보보호연구자는 취약점 발견을 위해 물리적인 공격을 사용하여서는 안됩니다.

9. 법적 보호

(1) 본 기업은 취약점에 대한 정보보호연구자의 선제적 발견 및 신고, 책임 있는 공개를 장려하기 위해, 정보보호연구자가「취약점 신고·공개 정책」을 준수한 경우, 정보보호연구자의 행위를 선의의 정보보호연구(good faith security research)로 간주하고 어떠한 법적 문제를 제기하지 않습니다.

(2) 본 기업은 제3자가「취약점 신고·공개 정책」에 따라 수행된 정보보호연구자의 행위를 이유로 정보보호연구자를 상대로 법적 조치를 제기하는 경우, 본 기업은 정보보호연구자의 행위가 본 정책을 준수하였음을 알리겠습니다.

10. 연락처

(1) 본 기업 : 취약점 신고·공개 정책(VDP)에 따른 취약점 발굴·신고·조치·공개
  • 이메일 : escvdvdpinfo@estsecurity.com

(2) 한국인터넷진흥원(파인더갭*) : 시범사업 운영 지원
  • 전화번호 : 02-405-6697
  • 이메일 : cvd@kisa.or.kr

  * CVD/VDP 시범사업 운영 지원을 위한 한국인터넷진흥원 사업 수행사

11. 문서 이력

버전	일자	내용
1.0	2026. 05. 27	최초 수립 및 게시