취약점 신고·공개 정책

CVD/VDP 시범사업용 취약점 신고·공개 정책

주식회사 넥슨코리아(이하 ’본 기업‘)는 외부 정보보호연구자를 통한 취약점 발굴·신고 및 신고된 취약점의 조치·공개까지의 모든 과정에서 정보통신망법, 개인정보보호법, 저작권법 등 우리나라 관련 법령을 준수합니다.

※ 정보보호연구자(화이트 해커, 윤리적 해커) : 침해사고 예방을 위한 선의의 목적으로 정보통신망 서비스 또는 디지털 제품의 취약점을 찾아 제보하는 개인 또는 조직(국가·공공기관, 대학교, 기업 등). 다만, 이번 시범사업에서 조직은 제외

본 기업은 과학기술정보통신부·한국인터넷진흥원이 실시하는「취약점 신고·조치·공개제도(CVD/VDP) 시범사업」참여기업으로, 본 기업의 취약점 신고·공개 정책(VDP, Vulnerability Disclosure Policy)은 2026년 6월 29일부터 2026년 7월 24일까지 한국인터넷진흥원에 신고된 취약점이 조치 및 공개될 때까지 적용됩니다.

1. 취약점 발굴 허용 대상자

본 기업은 아래 사항을 모두 충족한 정보보호연구자에 한하여 취약점 발견을 허용합니다.

(1) 만 19세 이상의 대한민국 국적자(시범사업 참가 신청일 기준)

(2) 시범사업 참가 신청서를 제출한 자

(3) 개인정보 수집·이용 동의서를 제출한 자

(4) 시범사업 관련 교육을 이수한 자

(5) 취약점 신고·공개 정책 준수 서약서를 제출한 자

(6) 개인정보보호법에 따라 개인정보처리위탁 계약을 체결한 자

2. 취약점 발굴 허용 범위

본 기업은 한국인터넷진흥원이 제공하는 VPN을 통해서만 서비스 취약점 발굴 행위를 허용하며, 본 기업이 취약점 발견을 허용하는 범위는 아래와 같습니다.

- 전체 29개 서비스 (넥슨닷컴 내 플랫폼 서비스 5개, 게임 서비스 24개)

※ 상세 내용 “별첨1. 대상 서비스 상세” 첨부

3. 취약점 발견 허용 기간

본 기업이 정보보호연구자에게 취약점 발견을 허용하는 기간은 2026년 6월 29일부터 2026년 7월 21일까지입니다.

4. 취약점 신고 및 접수

(1) 신고 방법 :

- 한국인터넷진흥원(파인더갭) (https://hacker.findthegap.co.kr/)

- 포털 비회원일 경우는 회원가입 필수

(2) 신고자 정보 : 이름, 휴대전화번호, 이메일 등 사이버 보안 취약점 정보 포털 내 취약점 신고에 필요한 사항 (취약점별 1인 신고만 가능)

(3) 신고 기한

정보보호연구자는 취약점을 발견할 경우, 취약점을 발견한 때부터 72시간 이내에 신고해야 하며, 발견 취약점을 통해 정보보호연구자가 정보통신망에 칩입한 경우에는 취약점 발견 행위를 즉시 중단하고 망에 침입한 때부터 12시간 이내에 신고해야 합니다.

※ 망에 침입한 때 : 취약점 공격이 성공하여 망에 침입한 시점

(4) 신고 내용

정보보호연구자는 취약점이 발견된 서비스 또는 제품명, 취약점 발견 일시, 취약점 증명 내용(PoC, Proof of Concept), 취약점 악용 시나리오, 망칩입 시점(해당하는 경우) 등을 제출해야 합니다.

(5) 신고 취약점 공유

본 기업은 한국인터넷진흥원으로부터 취약점 신고자 정보 및 취약점 내용을 공유받은 후, 취약점 조치를 목적으로 관련 서비스 사업자 또는 디지털제품·소프트웨어의 제조사·유통사·수입사 등 공급사에게 취약점 내용을 공유할 수 있습니다(취약점 신고자 정보는 공급사 공유에서 제외).

5. 유효 취약점 제외 대상

본 기업은 신고받은 취약점이 아래의 유효 취약점 제외 대상에 포함될 경우, 취약점 조치 및 공개 대상에서 제외할 수 있으며 제외된 사유를 한국인터넷진흥원으로부터 공유받은 날로부터 14일 이내에 정보보호연구자에게 안내합니다.

※ “별첨2. 유효 취약점 제외 대상” 첨부

6. 취약점 공개

(1) 공개 가능 시기

① 정보보호연구자는 본 기업이 한국인터넷진흥원으로부터 취약점 신고내용을 공유받은 날부터 120일이 경과한 후 해당 취약점을 공개할 수 있습니다.

② 본 기업은 한국인터넷진흥원으로부터 취약점 신고내용을 공유받은 날부터 120일 이내에 패치 등 보안 조치를 한 이후 해당 취약점을 공개합니다.

③ 본 기업은 정보보호연구자의 문의가 있을 경우 보안 조치 진행상황을 알려줍니다.

④ 취약점 공개 위치는 KISA(https://knvd.krcert.or.kr)이며, 정보보호연구자가 희망할 경우 취약점 발견자를 실명 또는 익명으로 명시할 수 있습니다.

⑤ 본 기업은 취약점 공개 가능 시기가 도래하기 전에 정보보호연구자에게 공개 시기를 알릴 수 있습니다.

⑥ 정보보호연구자는 신고한 취약점을 공개하기 전에 본 기업과 합의하여야 합니다.

(2) 공개 시기 연기

① 본 기업은 (1)에도 불구하고 취약점에 대한 보안조치를 위해 정보보호연구자에게 공개시기 연기를 요청할 수 있습니다. 이때 연기 기간은 60일 이내에서 본 기업과 정보보호연구자 간 협의를 통해 정합니다.

② 본 기업이 정보보호연구자에게 공개 시기 연기를 요청할 경우 그 사유를 설명합니다.

7. 준수사항

(1) 정보보호연구자는 본 기업의 취약점 신고·공개 정책을 준수하는 범위 내에서만 정보통신망법 제48조 제1항에 따른 ’접근권한‘을 부여받은 것으로 봅니다. 본 기업은 정보보호연구자가 이 취약점 신고·공개 정책을 위반하는 경우 정보통신망법 제48조 제1항에 따른 침입행위를 한 것으로 간주합니다.

(2) 정보보호연구자가 개인정보보호법에 부합하기 위해서는 본 기업의「취약점 신고·공개 정책」과 「개인정보처리위탁 계약서」에서 정한 사항을 준수해야 하며, 내용이 상충하는 경우, 개인정보 보호에 관한 사항은 본 계약이, 그 외의 사항은 VDP가 우선합니다.

(3) 취약점을 발견하는 과정 중에「개인정보 보호법」에 따른 개인정보, 「신용정보의 이용 및 보호에 관한 법률」에 따른 신용정보, 「부정경쟁방지 및 영업비밀보호에 관한 법률」에 따른 영업비밀 등의 정보를 접근 또는 열람하였을 때는, 취약점 발견 활동을 즉시 중단하고 본 기업에게 그 사실을 알려야 합니다. 또한 취약점 증명을 위해 화면캡처 필요 등 불가피한 경우, 반드시 해당 부분을 모자이크 또는 마스킹 처리하여 알아볼 수 없도록 하여야 하며 신고 후 즉시 삭제해야 합니다.

(4) 정보보호연구자는 취약점 발견 행위 중단 이후 취약점 발견 행위 재개와 관련하여서는 본 기업의 승인을 받아야 합니다.

8. 금지사항

(1) 정보보호연구자는 취약점 신고 또는 공개 등과 관련하여 어떠한 금전적인 대가도 요구해서는 안됩니다. 다만, 본 기업이 취약점 신고·포상제도(Bug Bounty)를 운영할 경우에는 그 정책에 따릅니다.

(2) 정보보호연구자는 발견한 취약점을 본 기업 또는 한국인터넷진흥원 이외의 제3자에게 신고하여서는 안되며, 발견한 취약점에 대해 사적 이용 등 VDP의 범위를 벗어난 행위를 하여서는 안됩니다.

(3) 정보보호연구자는 취약점을 발견하는 과정 중 개인정보, 신용정보, 영업비밀 등의 정보를 접근 또는 열람하였을 때는, 접근 또는 열람한 정보를 기록·저장·보유·출력 등 처리하거나 제3자에게 유출(정보가 본 기업의 통제 범위를 벗어나 제3자가 그 내용을 알 수 있는 상태에 이르게 된 것을 총칭한다) 하여서는 안됩니다.

(4) 정보보호연구자는 취약점 발견 허용 범위의 프로그램을 취약점 발견 목적 외로 사용하여서는 안되며, 취약점 발견 목적 외로 프로그램 코드를 역분석 하여서는 안됩니다.

(5) 정보보호연구자는 발견한 취약점을 악용하여 악성프로그램 설치, 전달, 또는 유포하여서는 안되며, 정보통신망 서비스, 데이터 또는 프로그램 등을 훼손, 멸실, 변경, 또는 위조하여서는 안됩니다.

(6) 정보보호연구자는 취약점 발견을 위해 디도스 등을 통해 정보통신망 서비스, 디지털제품, 소프트웨어 어플리케이션의 안정적 운영을 훼손하여서는 안됩니다.

(7) 정보보호연구자는 취약점 발견을 위해 피싱, 보이스 피싱 등의 사회공학적 방법을 사용하여서는 안됩니다.

(8) 정보보호연구자는 취약점 발견을 위해 물리적인 공격을 사용하여서는 안됩니다.

9. 법적 보호

(1) 본 기업은 취약점에 대한 정보보호연구자의 선제적 발견 및 신고, 책임있는 공개를 장려하기 위해, 정보보호연구자가「취약점 신고·공개 정책」을 준수한 경우, 정보보호연구자의 행위를 선의의 정보보호연구(good faith security research)로 간주하고 어떠한 법적 문제를 제기하지 않습니다.

(2) 본 기업은 제3자가「취약점 신고·공개 정책」에 따라 수행된 정보보호연구자의 행위를 이유로 정보보호연구자를 상대로 법적 조치를 제기하는 경우, 본 기업은 정보보호연구자의 행위가 본 정책을 준수하였음을 알리겠습니다.

10. 연락처

(1) 본 기업 : 취약점 신고·공개 정책(VDP)에 따른 취약점 발굴·신고·조치·공개

• 이 메 일 : bugbounty@nexon.co.kr

(2) 한국인터넷진흥원(파인더갭*) : 시범사업 운영 지원

• 전화번호 : 02-405-6697

• 이메일 : cvd@kisa.or.kr

* CVD/VDP 시범사업 운영 지원을 위한 한국인터넷진흥원 사업 수행사

11. 문서 이력

12. FAQ

“별첨3. FAQ 상세” 첨부

별첨1. 대상 서비스 상세

범위 내 타깃

범위 외 타깃

별첨2. 유효 취약점 제외 대상

• 공통 원칙

- 본 사업은 선행 조건 없이 단일 취약점만으로 공격의 시작부터 종료까지 논리적으로 성립하는, 재현 가능한 완성된 공격 시나리오를 평가 대상으로 함

- 선행 조건(악성코드 사전 감염, 피싱을 통한 파일 배치, 공격자의 로컬 접근 권한 획득, 피해자의 능동적 개입 등)이 필수적으로 요구되는 취약점은 원칙적으로 제외 됨

• 허용 범위가 아닌 곳에서 발견한 취약점

• 제약사항을 위반하고 발견한 취약점

• 일반적인 기능을 실행시키는 CSRF (예: 즐겨찾기에 추가, 로그아웃, 중요하지 않은 기능 이용)

• 피해자 휴대폰 습득 또는 물리적 접근이 필요한 취약점

• 재현되지 않거나, PoC 미제공, 또는 내용이 불분명하여 취약점을 파악할 수 없는 보고

• 이미 인지하고 있는 취약점 (당사 보안실)

• 타인이 발견한 취약점 (중복 제보 불가)

• 공식 채널이 아닌 다른 채널로 제보한 경우

• DoS 계열 공격

• URL Redirection / Open Redirect

• 모든 XSS(Cross Site Scripting) 취약점

• 퍼징 및 자동 스캔툴(웹 취약점 스캐너, 자동화 공격 툴 등)을 사용하여 발견한 취약점

• Rate-limit 부재 등 보안 통제 미흡에 대한 단순 지적

• 공격자가 자기 자신에게만 영향을 미치는 취약점

• 게시물, 댓글, 메시지 등 대량 반복 작성

• 제조사 폐업 및 단종 제품 등 보안 업데이트 개발이 불가능한 제품의 취약점

• 물리적 공격, 소셜 엔지니어링, 피싱 등과 같은 비기술적 공격 (예: HTTP 기본 인증 피싱)

• 보안 정책상 문제점 지적 (비밀번호 규칙/정책, 이메일 관리정책, 쿠키/세션, 인증토큰 관리·저장 정책 등 단순 지적)

• SSL/TLS, Protocol Version 관련 취약점

• 보안 플래그 설정 미흡 (CSP, X-Frame-Options, HttpOnly 등)

• 이메일 구성 설정에 대한 개선 지적 (SPF / DMARC / DKIM 정책)

• 실제 PoC 없이 취약한 버전의 오픈소스 및 SW 사용만 지적하는 보고

• 중간자 공격 (Man In The Middle)

• 피해자의 극단적인 개입이 있어야 악용될 수 있는 취약점 (예: 사용자가 악성 스크립트를 직접 입력하거나 브라우저 보안 설정을 해제해야 하는 경우)

• 이메일 열거 (예: 암호 재설정을 통해 이메일을 식별하는 기능)

• 오래된 브라우저 또는 플랫폼에서만 악용할 수 있는 취약점

• 공개 API를 사용하는 타사(서드파티) 애플리케이션의 취약점

• 피해가 매우 미미하거나 파급도가 매우 낮은 취약점

• 크롤링, 웹 서칭 등을 통해 발견할 수 있는 단순 SSL/TLS, DNS 설정 관련 취약점

• 보안 설정을 해제한 상태로 발생한 취약점 (브라우저 등)

• 시중에 유통되는 게임 핵 단순 제보

• 클라우드 설정, 네트워크 장비 설정 등 서비스 외부 인프라 관련 취약점

• 보안 위험이 없는 단순 버그

• 기타 통상적으로 버그바운티에서 인정되지 않는 경우

• 조건부 평가 대상(원칙적으로 제외되나, 당사 서비스에 대한 유의미한 공격 성공을 PoC와 함께 입증한 경우 심각도에 따라 평가)

- 이미 공개된 원데이 취약점

- 보안 모듈 / 무결성 우회

- 단순 정보 노출 (에러메시지, 소스코드, 서버/DB 정보, Query, URL, 내부 IP/도메인, 관리자 로그인 페이지 등)

- 암호화 값 탈취

- 무작위 대입 공격 (계정 탈취, OTP 우회, 2FA 우회 등 실제 공격에 성공한 경우)

- DLL Hijacking / 로컬 권한 상승(LPE) (파일 배치부터 권한 상승까지 완성된 공격 체인 입증)

별첨3. FAQ 상세

• 프로그램 운영

Q. 취약점 발굴은 어떤 환경에서 진행되나요?

A. 본 프로그램은 라이브 운영 환경을 대상으로 진행됩니다. 개발 환경이 아닌 실제 서비스이므로 각별한 주의가 필요.

Q. 취약점 발굴은 어떤 자산에 할 수 있나요?

A. "범위 내 타깃"만 가능합니다. 그 외 모든 자산/서비스는 범위에 포함되지 않으며, 범위 외 시도는 엄격히 금지됩니다.

Q. 취약점 발굴 시 반드시 지켜야 할 접근 방식이 있나요?

A. KISA에서 제공하는 VPN을 반드시 사용해야 합니다.

Q. 취약점 발굴 가능 시간이 정해져 있나요?

A. 매주 목요일 00:00 ~ 11:00은 정기점검 시간으로, 해당 시간 동안은 취약점 발굴 행위가 금지됩니다.

• 취약점 발굴

Q. 일반 사용자에게 영향을 줄 수 있는 공격도 가능한가요?

A. 불가능합니다. 일반 사용자를 대상으로 한 시도는 절대 금지되며, 공격 구문이 일반 사용자에게 노출되지 않도록 주의해야 합니다.

Q. XSS 취약점도 제보 대상인가요?

A. 아니요. Reflected XSS, Stored XSS 등 모든 유형의 XSS는 제보 대상에서 제외됩니다.

Q. 컴플라이언스 관련 취약점도 제보 가능한가요?

A. 컴플라이언스 취약점은 제외입니다.

Q. 결제 관련 기능은 어떻게 진행하나요?

A. 결제는 사이트 내 상품별 환불 유의사항을 반드시 숙지해 주세요. 환불 범위에 포함되지 않는 상품은 환불이 불가능합니다.

Q. 취약점 발굴 중 생성한 게시글/댓글/파일은 어떻게 처리해야 하나요?

A. 진행 과정에서 생성된 모든 흔적은 가능한 즉시 삭제해야 합니다. 삭제가 불가능한 경우 즉시 또는 주기적으로 기업에 통보해 주세요.

• 금지 행위

Q. 절대 해서는 안 되는 행위는 무엇인가요?

A. 다음 행위는 엄격히 금지되며, 위반 시 평가 대상에서 제외되고 법적 처벌을 받을 수 있습니다.

※ 관련 법률: 정보통신망법, 개인정보보호법, 게임산업진흥에 관한 법률 등

Q. 취약점 정보를 외부에 공개하면 어떻게 되나요?

A. 취약점 정보를 판매, SNS·블로그 등 인터넷 공개, 온·오프라인 발표하는 행위는 모두 금지되며, 법적 조치를 포함한 엄중 대응 대상입니다.

• 운영·평가

Q. 취약점 발굴 중 IP가 차단되었어요.

A. 공격 탐지 또는 반복 요청으로 IP가 차단될 수 있습니다. 차단 시 파인더갭 사이트 "Q&A" 탭에 수신처 기업으로 아래 세 가지를 등록해 주세요.

1. 취약점 발굴 시 사용한 VPN IP

2. 넥슨닷컴 로그인 아이디

3. 차단 화면 스크린샷

기업 확인 후 해제 처리됩니다.

Q. 같은 취약점을 여러 명이 제보하면 어떻게 되나요?

A. 발생 원인이 동일한 경우, 가장 먼저 제보한 리포트를 기준으로 심사합니다.

Q. 리포트는 어떤 기준으로 평가되나요?

A. 실제 평가는 난이도와 위험도를 종합 고려합니다. 리포트 작성이 불성실한 경우 평가에서 제외될 수 있으며, 평가는 제보 시점의 최신 버전에 한합니다.

Q. 누구나 참여할 수 있나요?

A. 넥슨코리아 및 관계사 임직원은 본 사업에 참여할 수 없습니다.