CVD·VDP 시범사업
대한민국은 민간·공공 분야 침해사고 예방 강화를 위하여
취약점 신고·조치·공개제도(CVD·VDP) 시범사업을 합니다.
선제적 취약점 발견으로 안전한 디지털 대한민국을 만드는데
정보보호연구자의 많은 동참 바랍니다.
> 취약점 탐지 모드 활성화
> 데이터 노드 연결 시도 중...
> 시스템 패치 버전 확인: v3.1.2
> 보안 레벨: 위험(High) 감지
> 암호화 프로토콜 분석 중...
> 클라우드 동기화 완료
> 스캔 프로세스 완료
> 위협 요소 발견되지 않음
> ...
> 반복 스캔 수행 중...
사업 개요
취약점 신고·조치·공개제도(CVD·VDP)는 침해사고 선제적 예방을 위한
정보보호연구자*와 기업·기관의 협력 모델입니다.
* 윤리적 해커(Ethical Hacker), 화이트 해커(White hat Hacker)
CVD (Coordinated Vulnerability Disclosure)
정보보호연구자와 기업·기관이 상호 협력과 조율, 필요시 제3의 신뢰기관에 의한 조정에 기반하여 운영되는 취약점 발굴·신고·조치·공개 프로세스입니다.
VDP (Vulnerability Disclosure Policy)
정보보호연구자의 상시 참여를 공개적으로 허용하는 기업·기관의 정책으로, 취약점 발굴 범위, 취약점 신고·공개 절차, 준수·금지사항, 법적 보호 등이 포함됩니다.
진행 절차
투명하고 안전한 프로세스를 통해 국가 보안 생태계 강화에 기여합니다.
참가 신청
2026년 5월 29일 (금) ~ 6월 12일 (금)[참가 신청하기] 버튼 클릭 후
참가 신청 페이지에서 '참가자 인적사항'과 '개인정보 수집·이용 동의서'를 작성하여 제출합니다.
교육 이수 및 전자서명
6월 15일 (월) ~ 6월 26일 (금)교육 안내 메일을 받은 참가신청자는
'CVD·VDP 시범사업 참가자 교육'을 이수합니다.
교육을 이수한 참가신청자에게는
전자서명 요청 안내 메일이 발송되며,
'VDP 준수 및 보안 서약서'
각 참여 기업/기관별 '개인정보처리위탁 계약서'에
전자서명을 진행합니다.
참가 승인
6월 15일 (월) ~ 6월 26일 (금)시범사업 자격 요건을 모두 충족한 참가신청자에게는 참가 승인 이메일이 발송됩니다.
취약점 발굴·신고
발굴 : 6월 29일 (월) ~ 7월 21일 (화)
신고 : 6월 29일 (월) ~ 7월 24일 (금)
참여 기업(민간) 취약점은 한국인터넷진흥원(파인더갭) 플랫폼 내 각 기업 제보 창구에 신고
참여 기관(공공) 취약점은 공공 VDP 정책에 명시된 양식에 따라 국가정보원 이메일(hackthegov@ncsc.go.kr)로 신고
취약점 검증·평가
6월 29일 (월) ~ 11월 중제보된 취약점은
각 참여 기업·기관에서 평가를 진행
※취약점 조치·공개 정책은 각 참여 기업·기관의 VDP를 따릅니다.
시상 및 성과 발표
11월 중CVD·VDP 시범사업 성과 발표회를 개최하고
우수 신고자에 대한 시상을 진행합니다.
참여 기업·기관 VDP
시범사업에 참여하는 기업 및 기관의 취약점 신고·공개 정책(VDP)을 확인하실 수 있습니다.
참여 기업
참여 기관
재정경제부
(공공기관채용정보시스템)
행정안전부
(국민안전24)
국토교통부
(국가교통정보센터)
질병관리청
(예방접종도우미)
건강보험심사평가원
(건강보험심사평가원)
한국교통안전공단
(사이버검사소)
한국은행
(경제통계시스템)
한국전력공사
(한전ON)
참가자 혜택
취약점을 평가하여 우수 신고자에게 아래와 같이 시상합니다.
시상
과학기술정보통신부장관상 / 국가정보원장상 (부문별 시상)
| 시상 | 인원 | 상금(인당) | |
|---|---|---|---|
| 과학기술정보통신부장관상 | 국가정보원장상 | ||
| 대상 | 1명 | 1명 | 400만원 |
| 최우수상 | 1명 | 1명 | 200만원 |
| 우수상 | 2명 | 2명 | 100만원 |
| 장려상 | 4명 | 4명 | 50만원 |
※ 특별상 : 한국인터넷진흥원장상(2명, 각 50만원)
취약점 공개
취약점 신고자는 각 참여 기업·기관의 VDP에 따라 취약점을 공개할 수 있습니다.
유의 사항
- · 법적 보호를 받기 위해서는 반드시 참여 기업·기관의 VDP를 준수하여야 합니다.
- · 민간 분야(기업)에서 찾으신 취약점은 한국인터넷진흥원(파인더갭) 플랫폼 내 각 기업 제보 창구에 신고해 주시기 바랍니다.
- · 공공 분야(기관)에서 찾으신 취약점은 국가정보원 이메일(hackthegov@ncsc.go.kr)로 신고해 주시기 바랍니다.
-
·
민간 분야(기업) 취약점 신고를 위해서는 참가 신청서에
한국인터넷진흥원(파인더갭) 플랫폼(https://hacker.findthegap.co.kr/)
윤리적 해커 회원 아이디를 기입하여야 합니다. (미회원은 회원가입 필수). -
·
참가 신청 후 6월 15일 (월) ~ 6월 26일 (금) 안에
교육 이수와 전자서명을 완료하셔야 최종적으로 시범사업 참가가 승인됩니다.
자주 묻는 질문
참가 자격은 어떻게 되나요 ?
시범사업에 참가하기 위해서는 아래 사항을 모두 충족해야 합니다. 자세한 참가 자격은 참여기업·기관의 VDP를 확인하시기 바랍니다.
(1) 만 19세 이상의 대한민국 국적자(시범사업 참가 신청일 기준)
(2) 참가 신청서를 제출한 자
(3) 개인정보 수집·이용 동의서를 제출한 자
(4) 시범사업에서 요구하는 교육을 이수한 자
(5) 취약점 신고·공개 정책(VDP) 준수 및 보안 서약서를 제출한 자
(6) 개인정보보호법에 따라 개인정보처리위탁 계약을 체결한 자
제보한 취약점 공개는 언제 가능한가요?
취약점 조치·공개 정책은 각 참여 기업·기관의 VDP를 따릅니다.
사전에 합의되지 않은 취약점의 무단 공개는 법적 보호를 받을 수 없으며, 처벌의 대상이 될 수 있으므로 각별히 주의하시기 바랍니다.
시상 외에 신고한 유효 취약점 건 별로 포상금(바운티)을 받을 수 있나요?
CVD·VDP 시범사업은 신고 취약점에 대한 개별적인 포상금이 아닌,
모든 신고된 취약점을 평가하여, 이 중 우수 신고자 대상으로 시상과 상금을 수여합니다.
시상에 대한 상세 내용은 홈페이지 [참가자 혜택]을 확인해 주시기 바랍니다.
참가 절차
교육 이수 및 전자서명
6월 15일 (월) ~ 6월 26일 (금)
교육 플랫폼(Hackgem.io)에서 'CVD·VDP 시범사업 참가자 교육' 수강 후 카카오톡 또는 문자로 전자서명 링크 수신
참가 승인
6월 15일 (월) ~ 6월 26일 (금)
수신된 'VDP 준수 및 보안 서약서'와 각 참여 기업·기관별 '개인정보처리위탁 계약서' 서명 완료 시 참가 승인
취약점 발굴·신고
취약점 발굴 일정 : 6월 29일 (월) ~ 7월 21일 (화)
취약점 신고 일정 : 6월 29일 (월) ~ 7월 24일 (금)
* 취약점 발굴 후 72시간 내에 제보 필요함에 따라, 신고 일정은 7월 24일까지 적용
참여 기업(민간) 취약점은 한국인터넷진흥원(파인더갭) 플랫폼 내 각 기업 제보 창구에 신고
참여 기관(공공) 취약점은 공공 VDP 정책에 명시된 양식에 따라 국가정보원 이메일(hackthegov@ncsc.go.kr)로 신고
신고 채널 안내
| 분야 | 기관 | 신고 채널 |
|---|---|---|
| 민간 | 한국인터넷진흥원(파인더갭) | https://hacker.findthegap.co.kr |
| 공공 | 국가정보원 | hackthegov@ncsc.go.kr |