버그 바운티 & VDP 플랫폼 2026 — HackerOne / Bugcrowd / Intigriti / Synack / YesWeHack / Immunefi / Code4rena / Anthropic Model Safety 심층 가이드

프롤로그 — 2026년, 버그 바운티는 어른이 되었다

2026년 5월, 버그 바운티는 더 이상 "취미 개발자가 해커 영화를 흉내내는 곳"이 아니다. 2012년 HackerOne 창립 이후 14년, 산업은 세 단계를 거쳐 어른이 되었다.

1. 2012 ~ 2017 · 셀프서비스 시대. Facebook · Google · Microsoft가 자체 프로그램을 돌렸고, HackerOne · Bugcrowd가 그 외부 헌터를 모았다. "공개 프로그램에 누구나 들어와 보고서를 던지면 트리아지 팀이 처리한다." 단순했고, 노이즈가 많았다.
2. 2018 ~ 2023 · 매니지드 시대. 노이즈는 트리아지 팀의 인건비로 돌아왔다. HackerOne Clear · Bugcrowd Crowdcontrol · Synack Red Team이 "신원 확인된 헌터 + 매니지드 트리아지"로 가격을 매기기 시작했다. 같은 시기 Immunefi가 Web3에서 한 건 $10M 단위 상금을 깔며 별도 시장을 만들었다.
3. 2024 ~ 2026 · AI · 컴플라이언스 · Web3 분기. Anthropic이 2024년 8월 Model Safety Bounty를 열고, OpenAI Cybersecurity Grant Program이 LLM 안전성 연구에 자금을 댄다. CISA BOD 20-01이 미국 연방기관에 VDP를 의무화하고, EU CRA(Cyber Resilience Act)가 2027년 12월까지 모든 디지털 제품에 취약점 공시를 강제한다. CVE / NVD는 2024 ~ 2025년 백로그 위기를 겪고도 여전히 산업의 기준점이다.

오늘 이 글은 15개 주요 플랫폼을 매니지드 · 셀프호스팅 · Web3 · AI 네 분면으로 나누고, 각 플랫폼이 누구를 위한 것인지, 어떤 상금 구조와 어떤 컴플라이언스 친화도를 가지는지, 그리고 한국(KISA · 토스 · 카카오)과 일본(IPA · ZOZO · Mercari · LY · DMM)이 어떻게 다르게 움직이는지를 한 호흡으로 본다.

1장 · 2026년 버그 바운티 지도 — 네 개의 사분면

먼저 그림 한 장.

                  매니지드 (트리아지 대행)
                          ▲
                          │
            Synack ───────┤
        HackerOne Clear   │   Cobalt.io (PtaaS)
        Bugcrowd Managed  │
                          │
   Web2 ◄──────────────────┼──────────────────► Web3 / AI
                          │
        Open Bug Bounty   │   Immunefi
        Intigriti(SaaS)   │   Code4rena
        YesWeHack(SaaS)   │   Sherlock
        HackerOne SaaS    │   Hats Finance
                          │   Spearbit / HackenProof
                          │   Anthropic Model Safety
                          │   OpenAI Cybersecurity Grant
                          │
                          ▼
                     셀프호스팅 (직접 운영)

가로축은 표적의 성격 — 전통 웹/모바일/API냐, 스마트 컨트랙트나 LLM이냐. 세로축은 운영 모델 — 플랫폼이 트리아지를 대행하느냐, 회사가 직접 보고서를 받느냐.

이 그림이 다음 장들의 뼈대다. 각 플랫폼은 한 점이 아니라 작은 영역을 차지한다. HackerOne은 SaaS · Managed · VDP · Pentest까지 가로지르고, Synack은 매니지드 한 점에 집중하며, Immunefi는 Web3 한 줄을 거의 독점한다.

2장 · HackerOne — 가장 큰 플랫폼, 그리고 IPO 미룬 회사

2012년 샌프란시스코에서 시작한 HackerOne은 지금까지 누적 보고서 1백만건 이상, 누적 상금 약 $400M을 처리한 산업의 사실상 표준이다. 2026년 기준 등록 헌터 1백50만명, 고객사 1000곳 이상으로 추정된다.

제품 라인. HackerOne은 한 플랫폼이 아니라 다섯 제품을 묶어 판다.

2024 ~ 2025년 흐름. IPO 후보로 거론되던 회사가 시장 침체로 일정을 늦췄고, 매출은 매니지드 · 엔터프라이즈 계약으로 기울었다. 동시에 AI Red Teaming 라인을 빠르게 키워, OpenAI · Anthropic · Google DeepMind 등이 자체 모델 안전성 챌린지를 HackerOne 위에서 진행한다.

누가 써야 하나. 글로벌 SaaS 기업 · 핀테크 · 정부기관(미국 국방부 Hack the Pentagon이 HackerOne 위)이 일순위. 단점은 명확하다 — 비용이 비싸고, 트리아지 SLA가 항상 만족스럽지는 않다는 헌터 측 불만이 누적되어 있다.

한국에서. 토스 · 라인 · 카카오가 부분적으로 HackerOne을 쓰지만, 한국 헌터는 전체 사용자 베이스에서 비중이 작다. 영어 보고서 의무는 여전히 진입장벽이다.

3장 · Bugcrowd — 직접적인 경쟁자, AI 트리아지로 차별화

2012년 호주에서 시작한 Bugcrowd는 HackerOne과 거의 같은 시기에 출발했고, 같은 매니지드 / VDP / Pentest 라인을 제공한다. 두 회사는 14년 동안 거의 같은 기능을 평행하게 만들어 왔다.

차별점. 2024년부터 Bugcrowd는 AI 기반 트리아지를 전면에 내세웠다. 들어온 보고서를 LLM이 1차 분류하고, 중복 · 노이즈를 걸러내며, 심각도를 추정한다. 헌터 입장에서는 응답 속도가 빨라졌다는 평이 우세하고, 회사 입장에서는 트리아지 인건비가 줄었다.

Crowdcontrol 플랫폼. Bugcrowd의 핵심 SaaS. 프로그램 빌더, 헌터 평판 점수(VRT 기반), 자동 리워드 산정, ServiceNow · Jira · GitHub 연동까지. 엔터프라이즈가 좋아할 만한 무거운 SOAR 같은 모양.

컴플라이언스. SOC 2 Type II · ISO 27001 · PCI DSS 친화 보고서를 기본 제공한다. 미국 국방부 · Tesla · OpenAI(부분)가 Bugcrowd 위에 프로그램을 둔다.

약점. UI/UX와 헌터 커뮤니티 활성도는 HackerOne 대비 약하다는 평이 있다. 새 헌터가 처음 들어가 보면 프로그램 수 자체가 적다고 느낄 수 있다.

4장 · Intigriti — 유럽의 사실상 표준

벨기에 안트베르펜에서 2016년에 시작한 Intigriti는 2026년 현재 유럽에서 가장 큰 바운티 플랫폼이다. 헌터 9만명 이상, 고객사 500곳 이상이 등록되어 있고, 유럽 정부 · 금융 · 통신사를 다수 확보했다.

왜 유럽인가. 두 가지가 결합했다.

1. GDPR · NIS2 · DORA · CRA 친화. 데이터 처리 위치, 헌터 신원 확인, 결제 흐름이 모두 EU 안에서 닫힌다. 미국 플랫폼 위로 데이터가 나가지 않는다는 점이 유럽 규제 담당자에게 큰 차이를 만든다.
2. 언어 · 시간대. 유럽 영업팀과 트리아지팀이 현지 영업시간에 응답한다. CET 오전에 답을 받을 수 있다는 단순한 사실이 유럽 보안팀에 의외로 중요하다.

기능. HackerOne · Bugcrowd와 거의 같은 SaaS 라인 — Bounty · VDP · Hybrid Pentest · Live Hacking Event. Live Hacking Event(예: Intigriti 1337UP)는 헌터를 한 도시에 모아 48시간 라이브로 진행하는 행사로, 유럽 헌터 커뮤니티의 사실상 컨퍼런스다.

누가 써야 하나. EU 본사를 둔 회사, 또는 EU 데이터 보호 요건이 강한 회사. CRA(2027년 12월 발효)가 임박할수록 Intigriti 비중이 더 커질 가능성이 높다.

5장 · Synack — 신원 확인 헌터 + 매니지드 펜테스트의 정의

Synack은 다른 플랫폼과 한 차원 다르게 움직인다. 2013년 NSA 출신 두 사람이 세운 이 회사는 SRT(Synack Red Team) 라는 신원 확인된 정예 헌터 그룹만 받아, 정부 · 금융 · 헬스케어 같은 고위험 고객에게 매니지드 펜테스트를 판다.

개방형 바운티와 다른 점.

1. 헌터 신원이 확인된다. 백그라운드 체크, 기술 인터뷰, 행동 평가까지 통과해야 SRT에 들어간다. 거절율 90% 이상으로 알려져 있다.
2. 표적이 비공개다. 일반 헌터는 어떤 회사를 테스트하는지조차 모르고 들어간다.
3. 트래픽이 Synack 게이트웨이를 통한다. 모든 테스트 트래픽이 Synack 인프라를 통과해 기록 · 감시되고, 고객은 누가 언제 무엇을 시도했는지 감사 로그로 받는다.

상품. SRT for Pentesting(일정형 펜테스트) · SRT for Continuous(상시) · Bounty Hunter(부분 보상)까지. 가격은 다른 SaaS 대비 훨씬 비싸고, 보고서는 SOC 2 · FedRAMP · ISO 27001 감사용으로 그대로 제출 가능한 품질이 보장된다.

누가 써야 하나. "외부 헌터를 받고 싶지만 신원 확인 없이는 안 된다"는 미국 연방 · 주정부 · 대형 금융 · 헬스케어. 즉 컴플라이언스가 곧 구매 결정 요인인 곳.

약점. 가격, 그리고 헌터 입장에서 진입 장벽. 일반 헌터는 Synack에 들어갈 가능성이 매우 낮다.

6장 · YesWeHack — 프랑스의 EU 친화 플랫폼

YesWeHack은 2013년 파리에서 시작한 프랑스 회사. Intigriti가 베네룩스를 기반으로 EU 전역을 노렸다면, YesWeHack은 프랑스 정부 계약을 중심으로 EU · 아시아 · 라틴아메리카로 펼쳤다.

특징.

1. 공공 부문 강세. 프랑스 ANSSI(국가사이버보안청) · ENISA(EU 사이버보안청)와 인접 관계. 프랑스어 · 영어 · 독일어 · 일본어 · 스페인어 UI를 일찍부터 갖췄다.
2. Dojo / 학습 트랙. 헌터 입장의 학습 환경을 플랫폼 안에 둔다. CTF 스타일 챌린지로 신규 헌터를 키운 뒤 실제 프로그램으로 이동시킨다.
3. Singapore · Tokyo 거점. 2020년대 중반부터 아시아 진출을 가속, 일본 · 싱가포르에 데이터 거주성을 제공한다.

제품. Bounty · VDP · Pentest · Attack Surface Management까지. 다른 EU 플랫폼과 비슷한 SaaS 라인을 갖췄다.

누가 써야 하나. 프랑스 본사 회사, 또는 다국어 · 다지역 사업으로 EU 컴플라이언스를 유지해야 하는 회사. 일본에서는 LY · DMM 등이 부분적으로 YesWeHack을 검토하거나 사용한다.

7장 · Open Bug Bounty — 무료, 그리고 일방향 공시

Open Bug Bounty는 다른 모든 플랫폼과 다르다. 2014년 시작한 이 사이트는 사이트 소유자에게 무료다. 헌터가 사이트의 XSS · 정보 누출 · 미스컨피그를 발견하면, Open Bug Bounty가 사이트 소유자에게 통보 책임을 진다. 보상은 사이트 소유자가 자율적으로 정한다.

모델의 본질.

1. 헌터는 자유롭게 사이트를 찾아 취약점을 보고할 수 있다 — 사전 동의 없이.
2. Open Bug Bounty는 90일간 조정 기간을 두고 사이트 소유자에게 알리며, 그 사이 헌터는 공개를 보류한다.
3. 90일 후 또는 패치 후, 헌터는 발견 사실(보안 범주, 영향 사이트 도메인)을 공개할 권리를 가진다.

좋은 점. 작은 사이트 · NGO · 학교 · 정부 하위 도메인 같이 정식 바운티를 운영할 자원이 없는 곳에도 통보 체계가 생긴다. 누적 보고 수가 130만 건을 넘는다.

나쁜 점. "사전 동의 없는 테스트"는 미국 · EU에서 형사 회색지대다. 헌터가 무리하면 CFAA · CMA(영국 Computer Misuse Act) 위험을 진다. 사이트 소유자 입장에서는 "원치 않는 외부 스캔"이 들어와 PR 부담이 생길 수 있다.

누가 써야 하나. 정식 바운티 예산이 없는 작은 조직에 통보 채널을 두고 싶을 때. 또는 헌터 입장에서 학습용 첫 보고서를 만들고 싶을 때.

8장 · Cobalt.io — PtaaS의 정의

Cobalt.io는 바운티 회사가 아니라 PtaaS — Pentest as a Service 회사다. 2013년 시작해서 매니지드 펜테스트를 SaaS처럼 판다. 고객은 대시보드에서 "테스트 시작" 버튼을 누르고, Cobalt가 신원 확인된 펜테스터(Cobalt Core) 풀에서 적합한 사람을 빠르게 매칭한다.

왜 별도 분류인가. 일반 바운티는 결과 기반 보상 — 헌터가 취약점을 찾았을 때만 돈을 받는다. PtaaS는 시간 기반 보상 — 펜테스터가 정해진 기간을 일하고 시간당 또는 프로젝트당 보수를 받는다. 둘은 회계 처리, 컴플라이언스 보고서 모양, 헌터 인센티브가 모두 다르다.

Cobalt Core. 약 400명 규모의 신원 확인 펜테스터 풀. Synack SRT보다 가벼운 검증(주로 기술 인터뷰 · 평판)이지만, 일반 바운티보다는 강한 검증.

고객. 중소 SaaS, 핀테크 스타트업, SOC 2 / ISO 27001 처음 받는 회사. "외부 펜테스트가 컴플라이언스 요건이지만 풀스코프 컨설팅사를 부르기는 부담스러운" 자리에 정확히 맞는다.

9장 · Immunefi — Web3에서 한 건 $10M 상금을 깔다

Immunefi는 2020년 시작한 Web3 전용 바운티 플랫폼이다. 다른 플랫폼이 Web2를 다루는 동안, Immunefi는 스마트 컨트랙트 · 브리지 · DEX · DAO를 표적으로 한다.

규모. 누적 상금 지급 $1.1억 이상. 단일 보고서 최고가 약$10M(2022년 Wormhole 사례 등). 일반 웹/모바일 바운티가 평균 한 건 $1K 미만으로 빠르게 수렴하는 것과 다른 차원이다.

왜 이렇게 크나. 스마트 컨트랙트 하나가 락업한 자산이 수십억 달러가 될 수 있고, 그 자산이 한 번의 익스플로잇으로 사라질 수 있다. 한 건의 critical 버그가 막아낸 손실이 그대로 보상이 된다 — DeFi 프로토콜은 자기 TVL의 5 ~ 10%를 critical 보상으로 약속한다.

페이아웃 구조. Severity별 정액(critical · high · medium · low) + 상한선. 페이아웃은 보통 스테이블코인(USDC · USDT)으로, 일부는 프로토콜 자체 토큰으로 진행된다.

약점. 진입 장벽이 높다. Solidity · EVM · 새 체인의 가상머신을 깊이 알아야 critical을 찾을 수 있다. 또 시장 침체기에는 토큰 가치가 폭락해 보상의 실질 가치가 줄어든다.

누가 써야 하나. DeFi · NFT · 인프라 프로토콜 · 브리지 운영자. 헌터 입장에서는 Web3 · Solidity 백그라운드가 있는 사람에게 가장 큰 상금이 깔린 곳.

10장 · Code4rena / Sherlock / Hats Finance / Spearbit / HackenProof — Web3 전문 분기

Immunefi 외에도 Web3 보안 시장에는 서로 다른 모델이 공존한다. 5개를 짧게 본다.

Code4rena. 시간 한정 코드 경연 — 보통 5 ~ 21일간 한 프로토콜의 새 코드베이스를 공개하고, 등록된 와든(Warden)이 동시에 감사한다. 발견된 이슈를 심각도별로 분류하고, 상금 풀(예: $100K)을 와든이 발견 가중치에 따라 나눈다. 코드 베이스가 정해진 기간에만 노출되므로 회사는 비용을 예측 가능하다.

Sherlock. 스마트 컨트랙트 감사 + 인슈어런스를 결합. 감사받은 코드에 대해 일정 기간 익스플로잇 손실을 Sherlock이 보장한다. 감사자가 "내가 놓친 버그를 책임진다"는 인센티브가 깔리는 모델.

Hats Finance. 탈중앙화 바운티 — 프로토콜 자체가 자기 컨트랙트를 등록하고, 보상이 컨트랙트로 락업된다. 보고서가 들어오면 위원회 투표로 보상이 풀린다. 중앙 트리아지 회사를 두지 않는다는 점이 차별점.

Spearbit. 풀타임 감사 컨설팅 — 한 건 짜리 깊이 있는 감사. 바운티 플랫폼이라기보다 시니어 감사자 부티크. Optimism · Aave · Lido 같은 대형 프로토콜이 정기 고객.

HackenProof. 우크라이나/EU 기반 Web3 + Web2 하이브리드 바운티. Hacken 그룹 산하의 감사 회사와 결합되어 Web3 감사 보고서와 라이브 바운티를 같이 묶어 판다.

11장 · BugBase · Hackrate — 신규 플랫폼들

큰 그림 옆에 신규 진입 두 개가 자리 잡고 있다.

BugBase(India). 2021년 인도에서 시작. 인도 헌터 커뮤니티 · 아시아 회사를 빠르게 모았다. UPI · Rupee 결제 등 현지 결제 인프라 친화. 인도 · ASEAN 회사에 가장 가까운 플랫폼.

Hackrate. 헝가리 부다페스트 기반. 중부 · 동부 유럽 회사를 대상으로 한다. Intigriti보다 가볍고 가격이 낮아, 작은 SaaS · 정부 산하 기관이 도입 부담을 덜고 들어온다.

이 둘은 글로벌 시장 점유율은 작지만, "현지 결제 + 현지 컴플라이언스 + 현지 헌터 커뮤니티" 라는 결합으로 자기 권역에서는 의외로 강하다.

12장 · AI 버그 바운티 — Anthropic Model Safety Bounty · OpenAI Cybersecurity Grant

2024년부터 AI 그 자체가 표적이 된 새 카테고리가 열렸다.

Anthropic Model Safety Bounty(2024년 8월). Anthropic이 자기 Constitutional Classifier(헌법적 AI 안전 분류기)에 대해 공개 바운티를 열었다. 표적은 "universal jailbreak" — 단 한 번의 프롬프트로 모든 안전 카테고리를 동시에 우회하는 공격. 보상은 단건 최대 $15K 수준. 2025년에 추가 라운드가 진행되며 RSP(Responsible Scaling Policy)와 연동된 평가 항목으로 확장된다.

OpenAI Cybersecurity Grant Program. OpenAI가 2023 ~ 2024년부터 학계 · 보안 연구자에게 그랜트를 지급한 프로그램. 바운티라기보다 연구 자금이지만, 결과물은 GPT 시리즈 안전성 평가에 직접 반영된다. 라운드별 총 자금 $1M 단위.

HackerOne · Bugcrowd의 AI Red Teaming 라인. 기존 바운티 플랫폼이 LLM · 멀티모달 표적용 별도 라인을 키운다. 보고 카테고리도 일반 OWASP가 아니라 OWASP LLM Top 10(프롬프트 인젝션, 학습 데이터 누출, 출력 처리 미흡 등)을 따른다.

왜 별도 분류인가. AI 표적은 전통 보안과 달리 "재현 가능한 익스플로잇"이라는 개념이 흐릿하다. 같은 프롬프트가 어제는 막혔다가 오늘은 통할 수 있다. 그래서 보상도 "재현 가능한 자카이라크 일관성", "심각도", "범용성" 같은 새 기준으로 평가된다.

13장 · CVE 프로그램 — MITRE · NIST NVD, 그리고 2024 ~ 2025년 백로그 위기

플랫폼들이 보고서를 받는 것과 별개로, 공식 식별자(CVE ID)는 다른 트랙에서 발급된다.

CVE Program. 1999년 MITRE가 시작. 공개된 취약점에 CVE-YYYY-NNNNN 형식의 고유 식별자를 발급한다. 약 400개의 CNA(CVE Numbering Authority)가 자기 권역에서 CVE를 직접 발급할 수 있다 — Microsoft · Red Hat · GitHub 등. 2026년 누적 발급 약 35만건 추정.

NIST NVD. CVE에 심각도(CVSS), CPE, CWE 같은 보강 데이터를 더해 검색 가능한 데이터베이스로 만든다. 미국 NIST 운영.

2024 ~ 2025년 위기. 두 가지 사건이 산업을 흔들었다.

1. NVD 백로그 폭증. 2024년 봄부터 NIST가 새 CVE를 충분히 빠르게 enrich 하지 못해 대량 백로그가 쌓였다. 한때 8만건 이상이 분석 대기열에 머물렀다.
2. MITRE 계약 만료 위기(2025년 4월). MITRE의 CVE Program 운영 계약이 만료될 뻔하면서, CISA가 마지막 순간 11개월 연장 자금을 댔다. 그 사이 EU에서는 ENISA가 자체 취약점 데이터베이스 EUVD(EU Vulnerability Database)를 운영하기 시작했다.

결과. 산업은 단일 NVD 의존을 줄이는 방향으로 움직였다. GitHub Advisory · OSV.dev · VulnCheck · CISA KEV · ENISA EUVD가 보완 소스로 자리 잡았고, 사내 SBOM · 취약점 매칭은 여러 소스를 합치는 방향으로 표준화되어 간다.

14장 · VDP 표준화 — CISA BOD 20-01과 EU CRA

바운티가 선택이라면, VDP(Vulnerability Disclosure Program)는 사실상 의무가 되어 가는 중이다.

CISA BOD 20-01(2020년 9월). 미국 국토안보부 산하 CISA의 Binding Operational Directive. 모든 미국 연방 행정기관에 다음을 요구한다.

1. 외부 보안 연구자가 취약점을 보고할 수 있는 공식 채널(보통 security.txt)
2. 보고자에게 30일 이내 응답
3. 무 법적 위협 약속(법적 면책 명시)
4. 공시 정책 공개

EU CRA(Cyber Resilience Act). 2024년 발효, 2027년 12월 완전 적용. EU에서 판매되는 모든 디지털 제품(소프트웨어 + 하드웨어)에 대해 다음을 요구한다.

1. 액티브 익스플로잇 24시간 이내 ENISA · CSIRT 보고
2. CVD(Coordinated Vulnerability Disclosure) 정책 공개
3. 패치 제공 기간 최소 5년(또는 합리적 기간)
4. SBOM 보유

결과. 자체 보안팀이 작은 회사도 최소 VDP 채널은 두어야 한다. HackerOne Response · Bugcrowd VDP · Intigriti VDP · YesWeHack VDP가 무상 또는 저비용 SaaS로 이 자리를 노린다. "security.txt 파일 한 개 두고 적당히 응답하면 된다"는 시대는 끝나간다.

15장 · 한국 — KISA · 토스 · 카카오의 풍경

한국은 글로벌 플랫폼 점유율이 작지만, 자체 생태계가 활성화되어 있다.

KISA(한국인터넷진흥원) 버그 바운티.

1. 매년 "버그 바운티 페스티벌" 운영. 정해진 국내 사이트 풀(공공 · 민간)을 헌터가 동시에 본다.
2. 보고서는 KrCERT/CC 채널로 들어가고, 보상은 정부 예산 + 참여기업 매칭. 한 건당 보통 50만원 ~ 1천만원대.
3. 영어가 아닌 한국어 보고서를 받는다는 점이 큰 차이.

토스(비바리퍼블리카). 2019년부터 자체 바운티를 일관되게 운영. 최고 보상 1억원대 사례가 알려져 있고, 핀테크 표적 특성상 critical 한 건의 영향이 크다. 보고는 자체 채널 + HackerOne 부분 활용.

카카오. 카카오 보안 페이지에 VDP + 바운티 채널을 함께 두고 있다. 라인 산하 도메인을 묶어 운영하고, 보상은 자체 등급에 따라 산정한다.

라인(LY 코퍼레이션, 한일 합작). 일본 LY 측에서 본 챕터 16의 일본 시장과도 겹친다. 한국 헌터 입장에서는 일본 본사 도메인이 추가 표적으로 들어온다.

언어 · 결제 · 세무 문제. 한국 헌터가 글로벌 플랫폼에서 받는 보상은 외화 수령으로 처리되어 세무 신고 의무가 따라온다. KISA 페스티벌 · 토스 · 카카오 같은 국내 채널이 한국 헌터에게 친화적인 이유 중 하나는 단순한 보상 절차다.

16장 · 일본 — IPA · ZOZO · Mercari · LY · DMM

일본은 한국과 다른 길로 갔다.

IPA(독립행정법인 정보처리추진기구). J-CSIP(Initiative for Cyber Security Information sharing Partnership) · ISACなど의 정보 공유 네트워크를 운영하지만, 직접 바운티 페스티벌을 여는 모델은 아니다. 대신 "취약점 관계법 가이드"를 통해 사기업 VDP 도입을 장려한다.

ZOZO. 패션 이커머스. 2019년 자체 바운티를 시작했고, 일본 최초의 본격적 사기업 바운티 중 하나. HackerOne을 부분 활용.

Mercari. C2C 마켓플레이스. 자체 바운티 프로그램을 일찍 갖췄고, HackerOne · BugBounty.jp 위에서 운영한다.

LY Corporation(라인 + 야후 재팬 통합). 2023년 통합 후 본격적인 단일 바운티를 운영. 광범위한 도메인(LINE · Yahoo · PayPay)을 묶어 보고를 받는다.

DMM. 컨텐츠 · 게임 · 핀테크 복합 회사. 자체 바운티 + 일본 내 플랫폼 활용.

BugBounty.jp. 일본 현지 플랫폼. 일본어 UI · 일본 세무 친화 결제. 한국의 KISA 풀처럼 일본 헌터에게 진입 장벽이 낮다.

한일 차이 요약. 한국은 KISA 같은 공공 페스티벌 + 대형 사기업 자체 바운티로 양분된다. 일본은 IPA가 가이드를 줄 뿐 직접 바운티를 운영하지 않고, 대신 ZOZO · Mercari · LY · DMM 같은 사기업이 각자 운영한다. 둘 다 글로벌 플랫폼보다 자체 채널 비중이 더 크다.

17장 · 어떻게 시작할까 — 헌터 입장과 회사 입장

마지막 장은 두 갈래로 나뉜다.

헌터 입장 — 처음 1년

1. OWASP Top 10 · OWASP API Top 10 · OWASP LLM Top 10을 처음부터 끝까지 한 번 통독한다. 보고서 카테고리는 거의 다 여기서 나온다.
2. PortSwigger Web Security Academy를 무료로 끝낸다. SSRF · IDOR · 인증/세션 · CORS · 인젝션 카테고리를 손에 익힌다.
3. HackerOne · Bugcrowd · Intigriti에 계정을 만들고, 공개 VDP 부터 시작한다. 보상이 없어도 첫 보고서 흐름을 익히는 데 가장 좋다.
4. Open Bug Bounty에서 학습용 보고서 2 ~ 3개를 만들어 본다. 단, 사전 동의 없는 테스트는 자기 권역의 법(한국 정보통신망법, 일본 부정액세스금지법, 미국 CFAA)을 미리 확인한다.
5. 국내 채널 활용. 한국 헌터라면 KISA 페스티벌 · 토스 · 카카오부터, 일본 헌터라면 BugBounty.jp · ZOZO · Mercari · LY부터. 영어 보고서 부담 없이 시작할 수 있다.
6. 방향 선택. 6개월 후 어느 카테고리에 머물 것인지 고른다 — 전통 웹/모바일이면 HackerOne · Intigriti, 매니지드 펜테스트가 직업이면 Cobalt Core · Synack SRT 인터뷰, 스마트 컨트랙트면 Immunefi · Code4rena · Sherlock.

회사 입장 — 처음 6개월

1. VDP 부터 시작. 정식 바운티 전에 security.txt와 보고 채널을 둔다. CISA BOD 20-01 템플릿, 또는 disclose.io 의 무료 가이드를 그대로 쓴다.
2. 무 법적 위협 약속. Safe Harbor 문구를 정책에 명시한다. CFAA · 정보통신망법 · 부정액세스금지법에 대해 헌터를 면책한다는 약속 없이는 진지한 헌터가 들어오지 않는다.
3. 컴플라이언스 매칭. SOC 2 / ISO 27001 / PCI / GDPR / NIS2 / DORA / CRA 중 어떤 보고서가 필요한지 확인하고 플랫폼을 고른다. 미국 정부면 HackerOne · Synack · Bugcrowd, EU면 Intigriti · YesWeHack, 글로벌 SaaS면 HackerOne · Bugcrowd.
4. 트리아지 인력 또는 매니지드. 첫 6개월은 매니지드 옵션을 켜는 게 거의 항상 맞다. 사내 트리아지팀을 처음부터 키우면 노이즈에 묻힌다.
5. 상금 곡선. P1(critical) 부터 P5(informational)까지 등급별 상금을 명시한다. critical을 시장 평균보다 약간 높게 깔면 시리어스한 헌터가 들어온다.
6. 사전 사적 베타. 공개 프로그램 전에 30 ~ 90일 사적 베타로 신뢰 헌터만 초대해 워밍업한다. 들어올 보고서 양과 종류를 미리 본다.

18장 · 글을 마치며 — 같은 산업, 네 개의 결

처음 도식에서 본 네 분면이 결국 결론이다.

1. 매니지드 Web2. HackerOne Clear · Bugcrowd Managed · Synack · Cobalt.io. 신원 확인된 헌터, 트리아지 대행, 컴플라이언스 보고서. 비용이 큰 만큼 결과 품질이 보장된다.
2. 셀프호스팅 Web2. HackerOne SaaS · Bugcrowd SaaS · Intigriti · YesWeHack · Open Bug Bounty. 사내 트리아지팀을 운영할 의지가 있는 회사에 맞는다.
3. Web3. Immunefi(상시 큰 상금) · Code4rena(시간 한정 경연) · Sherlock(감사 + 인슈어런스) · Hats Finance(탈중앙화) · Spearbit(부티크) · HackenProof(하이브리드). 단건 상금이 한 자릿수 백만 달러까지 가는 유일한 권역.
4. AI. Anthropic Model Safety · OpenAI Cybersecurity Grant · HackerOne / Bugcrowd AI Red Teaming. 표적이 모델 자체. 평가 기준이 일반 OWASP가 아니라 OWASP LLM Top 10 + 모델 안전성 정책.

그 위로 두 가지가 가로지른다. 첫째, CVE / NVD라는 공식 식별자 트랙이 모든 분면을 관통한다. 둘째, VDP가 CISA BOD 20-01과 EU CRA를 통해 사실상 의무가 된다.

2026년의 한 줄 요약은 단순하다. 버그 바운티는 더 이상 "공개 프로그램에 누가 들어와 보고를 던지는" 단일 산업이 아니다. 매니지드 / 셀프호스팅 / Web3 / AI 네 산업이고, 각각 다른 가격, 다른 컴플라이언스, 다른 헌터 풀, 다른 보상 곡선을 가진다. 회사도 헌터도 자기 자리를 정해야 한다 — 그게 이 글의 한 줄.

참고 / References

• HackerOne — https://www.hackerone.com
• HackerOne Hacktivity (공개 보고서) — https://hackerone.com/hacktivity
• Bugcrowd — https://www.bugcrowd.com
• Bugcrowd Crowdcontrol — https://www.bugcrowd.com/products/crowdcontrol/
• Intigriti — https://www.intigriti.com
• Intigriti 1337UP Live Hacking — https://www.intigriti.com/1337up
• Synack — https://www.synack.com
• Synack Red Team — https://www.synack.com/red-team/
• YesWeHack — https://www.yeswehack.com
• YesWeHack Dojo — https://dojo-yeswehack.com
• Open Bug Bounty — https://www.openbugbounty.org
• Cobalt.io — https://www.cobalt.io
• Cobalt Core — https://www.cobalt.io/core
• Immunefi — https://immunefi.com
• Immunefi Bug Bounty Programs — https://immunefi.com/explore/
• Code4rena — https://code4rena.com
• Sherlock — https://www.sherlock.xyz
• Hats Finance — https://hats.finance
• Spearbit — https://spearbit.com
• HackenProof — https://hackenproof.com
• BugBase (India) — https://bugbase.ai
• Hackrate — https://hackrate.com
• Anthropic Model Safety Bounty (2024.8) — https://www.anthropic.com/news/model-safety-bug-bounty
• Anthropic Responsible Scaling Policy — https://www.anthropic.com/news/anthropics-responsible-scaling-policy
• OpenAI Cybersecurity Grant Program — https://openai.com/index/cybersecurity-grant-program/
• OWASP LLM Top 10 — https://owasp.org/www-project-top-10-for-large-language-model-applications/
• CVE Program (MITRE) — https://www.cve.org
• NIST NVD — https://nvd.nist.gov
• CISA KEV (Known Exploited Vulnerabilities) — https://www.cisa.gov/known-exploited-vulnerabilities-catalog
• ENISA EUVD — https://euvd.enisa.europa.eu
• CISA BOD 20-01 — https://www.cisa.gov/news-events/directives/bod-20-01-develop-and-publish-vulnerability-disclosure-policy
• EU Cyber Resilience Act (CRA) — https://digital-strategy.ec.europa.eu/en/policies/cyber-resilience-act
• disclose.io — https://disclose.io
• security.txt RFC 9116 — https://www.rfc-editor.org/rfc/rfc9116
• OWASP Top 10 — https://owasp.org/www-project-top-ten/
• OWASP API Security Top 10 — https://owasp.org/API-Security/
• PortSwigger Web Security Academy — https://portswigger.net/web-security
• KISA 버그 바운티 — https://www.krcert.or.kr
• 토스 보안 보고 — https://toss.tech/security
• 카카오 보안 — https://www.kakaocorp.com/page/responsibility/security
• IPA 일본 — https://www.ipa.go.jp/security/
• ZOZO 보안 — https://corp.zozo.com/en/security/
• Mercari 보안 — https://about.mercari.com/en/security/
• LY Corporation 보안 — https://www.lycorp.co.jp/en/security/
• BugBounty.jp — https://bugbounty.jp
• GitHub Advisory Database — https://github.com/advisories
• OSV.dev — https://osv.dev
• VulnCheck — https://vulncheck.com