솔루션 하나를 구매하서 수정을 하던중에, 특정 부분에 대한 보안 취약점을 발견하였습니다.

회사에다가 메일을 보낼까 하다가,, 괜히 나쁜 사람으로 인식될수도 있어서,,, 

취약점 발견시 어떻게 개선하는 게 좋을지 고민하여 아래와 같이 진행을 해보았습니다.

1. https://knvd.krcert.or.kr/ 사이트가 있습니다.

  - KISA에 운영하는 보호나라에서 보안취약점 관련된 부분만 따로 떼어서 사이트를 만든것 같네요.

 - 여기서 취약점 신고를 하면, 경우에 따라서 보상금도 지급을 하는것 같습니다.

2. 신청서 양식이 좀 많은데, 설명도 하고, 캡쳐도 넣어야 합니다.

  - 상황 발생 조건과 재현 방법 등을 설명하고, 액션별로 스크린샷을 만들었습니다.

  - 처음 등록시에 뭔가 순서를 빼먹어서 다시 했는데,,, 2시간 정도 걸린것 같네요. (글쓰는거 힘듦)

3. 신고를 완료하고, 응답이 오기를 기다렸습니다.

  - 한 2주쯤 걸릴줄 알았는데,,, 인원이 부족한건지,,, 중요도가 떨어져서 그런건지  2달쯤 걸린것 같네요.

  - 홈페이지 신고 결과가 완료로만 뜨고, 다른 내용은 조회가 안됩니다. 

  - 어떻게 조치가 되었는지 알수가 없네요.. 거절이 된건지 정상 완료된건지....   

4. 전화를 해봤습니다.

   - 피같은 2시간을 투자해서 신고를 했는데,,, 완료라는 텍스트 한줄만 보는건 아닌것 같아 전화를 하였습니다.

   - 홈페이지 하단에 있는 번호로 전화를 했더니,, 담당이 아니라고 해서 알려준 번호를 다시 전화를 했더니 연결되었습니다.

   - 이런저런 부분을 신고했고, 결과가 완료인데,,, 어떻게 완료된건지 알수가 없다라고 하니,,,

   - 결과가 원래 메일로 발송된다고 하는데,,, 발송이 안된것 같다고 합니다.(뭐 그렇다고 합니다.)

5. 진행결과

   - 완료 된 상태임으로 해당 보안 취약점은 업체에 전달되었고,, 업체에서 패치되었다고 확인이 되었습니다.

   - 그러니까 상태가 -> 완료로 변경되었다는것은 업체가 보안패치까지 완료 해야 변경된다고 합니다.(중간 상태도 좀 넣지..)

   - 자세한건 메일로 재발송해준다고 해서 확인을 하였습니다.

6. 업체 공지 확인

   - 업체 솔루션 업데이트 내역에 보안패치관련 부분은 없습니다.

   - 고의적으로 누락한걸로 보입니다. KISA는 보안 패치했다는 회신을 받았다고 했거든요. 

   - 이부분은 KISA에 다시한번 요청을 해두었습니다.

    - 보안 패치는 기존 사용자들도 해당됨으로 단순 업데이트 해두면 업데이트 안하는 사용자가 더 많습니다.

결론) 시간 낭비함.