- Published on
2026년 버그 바운티는 한 시즌을 통째로 끝낸 산업이다. HackerOne이 IPO를 미루며 매니지드 서비스로 무게중심을 옮기고, Bugcrowd가 AI 트리아지를 내세우고, 유럽에서는 Intigriti가 사실상의 표준이 되었다. Synack은 신원확인된 헌터로 매니지드 펜테스트를 정의하고, YesWeHack는 GDPR · NIS2 친화 플랫폼으로 EU CRA 시대를 준비한다. Web3에서는 Immunefi가 한 건 $10M 상금을 깔고, Code4rena · Sherlock · Hats Finance · Spearbit · HackenProof가 코드 경연과 상시 바운티로 나뉜다. AI에서는 Anthropic Model Safety Bounty(2024.8)와 OpenAI Cybersecurity Grant Program이 모델 자체를 표적으로 한다. 그리고 CVE / NVD가 흔들리는 한 해, VDP가 CISA BOD 20-01과 EU CRA로 사실상 의무가 된 한 해다. 이 글은 15개 플랫폼을 매니지드 · 셀프호스팅 · Web3 · AI 4분면으로 정리하고, 한국(KISA · 토스 · 카카오)과 일본(IPA · ZOZO · Mercari · LY · DMM)의 풍경까지 한 호흡으로 본다.