Skip to content

필사 모드: 버그 바운티 & VDP 플랫폼 2026 — HackerOne / Bugcrowd / Intigriti / Synack / YesWeHack / Immunefi / Code4rena / Anthropic Model Safety 심층 가이드

한국어
0%
정확도 0%
💡 왼쪽 원문을 읽으면서 오른쪽에 따라 써보세요. Tab 키로 힌트를 받을 수 있습니다.
원문 렌더가 준비되기 전까지 텍스트 가이드로 표시합니다.

프롤로그 — 2026년, 버그 바운티는 어른이 되었다

2026년 5월, 버그 바운티는 더 이상 "취미 개발자가 해커 영화를 흉내내는 곳"이 아니다. 2012년 HackerOne 창립 이후 14년, 산업은 세 단계를 거쳐 어른이 되었다.

1. **2012 ~ 2017 · 셀프서비스 시대.** Facebook · Google · Microsoft가 자체 프로그램을 돌렸고, HackerOne · Bugcrowd가 그 외부 헌터를 모았다. "공개 프로그램에 누구나 들어와 보고서를 던지면 트리아지 팀이 처리한다." 단순했고, 노이즈가 많았다.

2. **2018 ~ 2023 · 매니지드 시대.** 노이즈는 트리아지 팀의 인건비로 돌아왔다. HackerOne Clear · Bugcrowd Crowdcontrol · Synack Red Team이 "신원 확인된 헌터 + 매니지드 트리아지"로 가격을 매기기 시작했다. 같은 시기 Immunefi가 Web3에서 한 건 $10M 단위 상금을 깔며 별도 시장을 만들었다.

3. **2024 ~ 2026 · AI · 컴플라이언스 · Web3 분기.** Anthropic이 2024년 8월 Model Safety Bounty를 열고, OpenAI Cybersecurity Grant Program이 LLM 안전성 연구에 자금을 댄다. CISA BOD 20-01이 미국 연방기관에 VDP를 의무화하고, EU CRA(Cyber Resilience Act)가 2027년 12월까지 모든 디지털 제품에 취약점 공시를 강제한다. CVE / NVD는 2024 ~ 2025년 백로그 위기를 겪고도 여전히 산업의 기준점이다.

오늘 이 글은 15개 주요 플랫폼을 **매니지드 · 셀프호스팅 · Web3 · AI** 네 분면으로 나누고, 각 플랫폼이 누구를 위한 것인지, 어떤 상금 구조와 어떤 컴플라이언스 친화도를 가지는지, 그리고 한국(KISA · 토스 · 카카오)과 일본(IPA · ZOZO · Mercari · LY · DMM)이 어떻게 다르게 움직이는지를 한 호흡으로 본다.

1장 · 2026년 버그 바운티 지도 — 네 개의 사분면

먼저 그림 한 장.

매니지드 (트리아지 대행)

Synack ───────┤

HackerOne Clear │ Cobalt.io (PtaaS)

Bugcrowd Managed │

Web2 ◄──────────────────┼──────────────────► Web3 / AI

Open Bug Bounty │ Immunefi

Intigriti(SaaS) │ Code4rena

YesWeHack(SaaS) │ Sherlock

HackerOne SaaS │ Hats Finance

│ Spearbit / HackenProof

│ Anthropic Model Safety

│ OpenAI Cybersecurity Grant

셀프호스팅 (직접 운영)

가로축은 **표적의 성격** — 전통 웹/모바일/API냐, 스마트 컨트랙트나 LLM이냐. 세로축은 **운영 모델** — 플랫폼이 트리아지를 대행하느냐, 회사가 직접 보고서를 받느냐.

이 그림이 다음 장들의 뼈대다. 각 플랫폼은 한 점이 아니라 작은 영역을 차지한다. HackerOne은 SaaS · Managed · VDP · Pentest까지 가로지르고, Synack은 매니지드 한 점에 집중하며, Immunefi는 Web3 한 줄을 거의 독점한다.

2장 · HackerOne — 가장 큰 플랫폼, 그리고 IPO 미룬 회사

2012년 샌프란시스코에서 시작한 HackerOne은 지금까지 누적 보고서 1백만건 이상, 누적 상금 약 $400M을 처리한 산업의 사실상 표준이다. 2026년 기준 등록 헌터 1백50만명, 고객사 1000곳 이상으로 추정된다.

**제품 라인.** HackerOne은 한 플랫폼이 아니라 다섯 제품을 묶어 판다.

| 제품 | 핵심 |

| ---------------- | ----------------------------------- |

| Bounty | 공개 / 비공개 바운티 프로그램 |

| Response (VDP) | 무상 취약점 공시 — CISA BOD 20-01 친화 |

| Pentest | 일정형 매니지드 펜테스트 |

| Assessments | 매니지드 풀스코프 |

| AI Red Teaming | LLM · 멀티모달 모델 표적 평가 |

**2024 ~ 2025년 흐름.** IPO 후보로 거론되던 회사가 시장 침체로 일정을 늦췄고, 매출은 매니지드 · 엔터프라이즈 계약으로 기울었다. 동시에 AI Red Teaming 라인을 빠르게 키워, OpenAI · Anthropic · Google DeepMind 등이 자체 모델 안전성 챌린지를 HackerOne 위에서 진행한다.

**누가 써야 하나.** 글로벌 SaaS 기업 · 핀테크 · 정부기관(미국 국방부 Hack the Pentagon이 HackerOne 위)이 일순위. 단점은 명확하다 — 비용이 비싸고, 트리아지 SLA가 항상 만족스럽지는 않다는 헌터 측 불만이 누적되어 있다.

**한국에서.** 토스 · 라인 · 카카오가 부분적으로 HackerOne을 쓰지만, 한국 헌터는 전체 사용자 베이스에서 비중이 작다. 영어 보고서 의무는 여전히 진입장벽이다.

3장 · Bugcrowd — 직접적인 경쟁자, AI 트리아지로 차별화

2012년 호주에서 시작한 Bugcrowd는 HackerOne과 거의 같은 시기에 출발했고, 같은 매니지드 / VDP / Pentest 라인을 제공한다. 두 회사는 14년 동안 거의 같은 기능을 평행하게 만들어 왔다.

**차별점.** 2024년부터 Bugcrowd는 **AI 기반 트리아지**를 전면에 내세웠다. 들어온 보고서를 LLM이 1차 분류하고, 중복 · 노이즈를 걸러내며, 심각도를 추정한다. 헌터 입장에서는 응답 속도가 빨라졌다는 평이 우세하고, 회사 입장에서는 트리아지 인건비가 줄었다.

**Crowdcontrol 플랫폼.** Bugcrowd의 핵심 SaaS. 프로그램 빌더, 헌터 평판 점수(VRT 기반), 자동 리워드 산정, ServiceNow · Jira · GitHub 연동까지. 엔터프라이즈가 좋아할 만한 무거운 SOAR 같은 모양.

**컴플라이언스.** SOC 2 Type II · ISO 27001 · PCI DSS 친화 보고서를 기본 제공한다. 미국 국방부 · Tesla · OpenAI(부분)가 Bugcrowd 위에 프로그램을 둔다.

**약점.** UI/UX와 헌터 커뮤니티 활성도는 HackerOne 대비 약하다는 평이 있다. 새 헌터가 처음 들어가 보면 프로그램 수 자체가 적다고 느낄 수 있다.

4장 · Intigriti — 유럽의 사실상 표준

벨기에 안트베르펜에서 2016년에 시작한 Intigriti는 2026년 현재 유럽에서 가장 큰 바운티 플랫폼이다. 헌터 9만명 이상, 고객사 500곳 이상이 등록되어 있고, 유럽 정부 · 금융 · 통신사를 다수 확보했다.

**왜 유럽인가.** 두 가지가 결합했다.

1. **GDPR · NIS2 · DORA · CRA 친화.** 데이터 처리 위치, 헌터 신원 확인, 결제 흐름이 모두 EU 안에서 닫힌다. 미국 플랫폼 위로 데이터가 나가지 않는다는 점이 유럽 규제 담당자에게 큰 차이를 만든다.

2. **언어 · 시간대.** 유럽 영업팀과 트리아지팀이 현지 영업시간에 응답한다. CET 오전에 답을 받을 수 있다는 단순한 사실이 유럽 보안팀에 의외로 중요하다.

**기능.** HackerOne · Bugcrowd와 거의 같은 SaaS 라인 — Bounty · VDP · Hybrid Pentest · Live Hacking Event. Live Hacking Event(예: Intigriti 1337UP)는 헌터를 한 도시에 모아 48시간 라이브로 진행하는 행사로, 유럽 헌터 커뮤니티의 사실상 컨퍼런스다.

**누가 써야 하나.** EU 본사를 둔 회사, 또는 EU 데이터 보호 요건이 강한 회사. CRA(2027년 12월 발효)가 임박할수록 Intigriti 비중이 더 커질 가능성이 높다.

5장 · Synack — 신원 확인 헌터 + 매니지드 펜테스트의 정의

Synack은 다른 플랫폼과 한 차원 다르게 움직인다. 2013년 NSA 출신 두 사람이 세운 이 회사는 **SRT(Synack Red Team)** 라는 신원 확인된 정예 헌터 그룹만 받아, 정부 · 금융 · 헬스케어 같은 고위험 고객에게 매니지드 펜테스트를 판다.

**개방형 바운티와 다른 점.**

1. **헌터 신원이 확인된다.** 백그라운드 체크, 기술 인터뷰, 행동 평가까지 통과해야 SRT에 들어간다. 거절율 90% 이상으로 알려져 있다.

2. **표적이 비공개다.** 일반 헌터는 어떤 회사를 테스트하는지조차 모르고 들어간다.

3. **트래픽이 Synack 게이트웨이를 통한다.** 모든 테스트 트래픽이 Synack 인프라를 통과해 기록 · 감시되고, 고객은 누가 언제 무엇을 시도했는지 감사 로그로 받는다.

**상품.** SRT for Pentesting(일정형 펜테스트) · SRT for Continuous(상시) · Bounty Hunter(부분 보상)까지. 가격은 다른 SaaS 대비 훨씬 비싸고, 보고서는 SOC 2 · FedRAMP · ISO 27001 감사용으로 그대로 제출 가능한 품질이 보장된다.

**누가 써야 하나.** "외부 헌터를 받고 싶지만 신원 확인 없이는 안 된다"는 미국 연방 · 주정부 · 대형 금융 · 헬스케어. 즉 컴플라이언스가 곧 구매 결정 요인인 곳.

**약점.** 가격, 그리고 헌터 입장에서 진입 장벽. 일반 헌터는 Synack에 들어갈 가능성이 매우 낮다.

6장 · YesWeHack — 프랑스의 EU 친화 플랫폼

YesWeHack은 2013년 파리에서 시작한 프랑스 회사. Intigriti가 베네룩스를 기반으로 EU 전역을 노렸다면, YesWeHack은 프랑스 정부 계약을 중심으로 EU · 아시아 · 라틴아메리카로 펼쳤다.

**특징.**

1. **공공 부문 강세.** 프랑스 ANSSI(국가사이버보안청) · ENISA(EU 사이버보안청)와 인접 관계. 프랑스어 · 영어 · 독일어 · 일본어 · 스페인어 UI를 일찍부터 갖췄다.

2. **Dojo / 학습 트랙.** 헌터 입장의 학습 환경을 플랫폼 안에 둔다. CTF 스타일 챌린지로 신규 헌터를 키운 뒤 실제 프로그램으로 이동시킨다.

3. **Singapore · Tokyo 거점.** 2020년대 중반부터 아시아 진출을 가속, 일본 · 싱가포르에 데이터 거주성을 제공한다.

**제품.** Bounty · VDP · Pentest · Attack Surface Management까지. 다른 EU 플랫폼과 비슷한 SaaS 라인을 갖췄다.

**누가 써야 하나.** 프랑스 본사 회사, 또는 다국어 · 다지역 사업으로 EU 컴플라이언스를 유지해야 하는 회사. 일본에서는 LY · DMM 등이 부분적으로 YesWeHack을 검토하거나 사용한다.

7장 · Open Bug Bounty — 무료, 그리고 일방향 공시

Open Bug Bounty는 다른 모든 플랫폼과 다르다. 2014년 시작한 이 사이트는 **사이트 소유자에게 무료**다. 헌터가 사이트의 XSS · 정보 누출 · 미스컨피그를 발견하면, Open Bug Bounty가 사이트 소유자에게 통보 책임을 진다. 보상은 사이트 소유자가 자율적으로 정한다.

**모델의 본질.**

1. 헌터는 자유롭게 사이트를 찾아 취약점을 보고할 수 있다 — 사전 동의 없이.

2. Open Bug Bounty는 90일간 조정 기간을 두고 사이트 소유자에게 알리며, 그 사이 헌터는 공개를 보류한다.

3. 90일 후 또는 패치 후, 헌터는 발견 사실(보안 범주, 영향 사이트 도메인)을 공개할 권리를 가진다.

**좋은 점.** 작은 사이트 · NGO · 학교 · 정부 하위 도메인 같이 정식 바운티를 운영할 자원이 없는 곳에도 통보 체계가 생긴다. 누적 보고 수가 130만 건을 넘는다.

**나쁜 점.** "사전 동의 없는 테스트"는 미국 · EU에서 형사 회색지대다. 헌터가 무리하면 CFAA · CMA(영국 Computer Misuse Act) 위험을 진다. 사이트 소유자 입장에서는 "원치 않는 외부 스캔"이 들어와 PR 부담이 생길 수 있다.

**누가 써야 하나.** 정식 바운티 예산이 없는 작은 조직에 통보 채널을 두고 싶을 때. 또는 헌터 입장에서 학습용 첫 보고서를 만들고 싶을 때.

8장 · Cobalt.io — PtaaS의 정의

Cobalt.io는 바운티 회사가 아니라 PtaaS — Pentest as a Service 회사다. 2013년 시작해서 매니지드 펜테스트를 SaaS처럼 판다. 고객은 대시보드에서 "테스트 시작" 버튼을 누르고, Cobalt가 신원 확인된 펜테스터(Cobalt Core) 풀에서 적합한 사람을 빠르게 매칭한다.

**왜 별도 분류인가.** 일반 바운티는 결과 기반 보상 — 헌터가 취약점을 찾았을 때만 돈을 받는다. PtaaS는 시간 기반 보상 — 펜테스터가 정해진 기간을 일하고 시간당 또는 프로젝트당 보수를 받는다. 둘은 회계 처리, 컴플라이언스 보고서 모양, 헌터 인센티브가 모두 다르다.

**Cobalt Core.** 약 400명 규모의 신원 확인 펜테스터 풀. Synack SRT보다 가벼운 검증(주로 기술 인터뷰 · 평판)이지만, 일반 바운티보다는 강한 검증.

**고객.** 중소 SaaS, 핀테크 스타트업, SOC 2 / ISO 27001 처음 받는 회사. "외부 펜테스트가 컴플라이언스 요건이지만 풀스코프 컨설팅사를 부르기는 부담스러운" 자리에 정확히 맞는다.

9장 · Immunefi — Web3에서 한 건 $10M 상금을 깔다

Immunefi는 2020년 시작한 Web3 전용 바운티 플랫폼이다. 다른 플랫폼이 Web2를 다루는 동안, Immunefi는 스마트 컨트랙트 · 브리지 · DEX · DAO를 표적으로 한다.

**규모.** 누적 상금 지급 $1.1억 이상. 단일 보고서 최고가 약 $10M(2022년 Wormhole 사례 등). 일반 웹/모바일 바운티가 평균 한 건 $1K 미만으로 빠르게 수렴하는 것과 다른 차원이다.

**왜 이렇게 크나.** 스마트 컨트랙트 하나가 락업한 자산이 수십억 달러가 될 수 있고, 그 자산이 한 번의 익스플로잇으로 사라질 수 있다. 한 건의 critical 버그가 막아낸 손실이 그대로 보상이 된다 — DeFi 프로토콜은 자기 TVL의 5 ~ 10%를 critical 보상으로 약속한다.

**페이아웃 구조.** Severity별 정액(critical · high · medium · low) + 상한선. 페이아웃은 보통 스테이블코인(USDC · USDT)으로, 일부는 프로토콜 자체 토큰으로 진행된다.

**약점.** 진입 장벽이 높다. Solidity · EVM · 새 체인의 가상머신을 깊이 알아야 critical을 찾을 수 있다. 또 시장 침체기에는 토큰 가치가 폭락해 보상의 실질 가치가 줄어든다.

**누가 써야 하나.** DeFi · NFT · 인프라 프로토콜 · 브리지 운영자. 헌터 입장에서는 Web3 · Solidity 백그라운드가 있는 사람에게 가장 큰 상금이 깔린 곳.

10장 · Code4rena / Sherlock / Hats Finance / Spearbit / HackenProof — Web3 전문 분기

Immunefi 외에도 Web3 보안 시장에는 서로 다른 모델이 공존한다. 5개를 짧게 본다.

**Code4rena.** 시간 한정 코드 경연 — 보통 5 ~ 21일간 한 프로토콜의 새 코드베이스를 공개하고, 등록된 와든(Warden)이 동시에 감사한다. 발견된 이슈를 심각도별로 분류하고, 상금 풀(예: $100K)을 와든이 발견 가중치에 따라 나눈다. 코드 베이스가 정해진 기간에만 노출되므로 회사는 비용을 예측 가능하다.

**Sherlock.** 스마트 컨트랙트 감사 + 인슈어런스를 결합. 감사받은 코드에 대해 일정 기간 익스플로잇 손실을 Sherlock이 보장한다. 감사자가 "내가 놓친 버그를 책임진다"는 인센티브가 깔리는 모델.

**Hats Finance.** 탈중앙화 바운티 — 프로토콜 자체가 자기 컨트랙트를 등록하고, 보상이 컨트랙트로 락업된다. 보고서가 들어오면 위원회 투표로 보상이 풀린다. 중앙 트리아지 회사를 두지 않는다는 점이 차별점.

**Spearbit.** 풀타임 감사 컨설팅 — 한 건 짜리 깊이 있는 감사. 바운티 플랫폼이라기보다 시니어 감사자 부티크. Optimism · Aave · Lido 같은 대형 프로토콜이 정기 고객.

**HackenProof.** 우크라이나/EU 기반 Web3 + Web2 하이브리드 바운티. Hacken 그룹 산하의 감사 회사와 결합되어 Web3 감사 보고서와 라이브 바운티를 같이 묶어 판다.

11장 · BugBase · Hackrate — 신규 플랫폼들

큰 그림 옆에 신규 진입 두 개가 자리 잡고 있다.

**BugBase(India).** 2021년 인도에서 시작. 인도 헌터 커뮤니티 · 아시아 회사를 빠르게 모았다. UPI · Rupee 결제 등 현지 결제 인프라 친화. 인도 · ASEAN 회사에 가장 가까운 플랫폼.

**Hackrate.** 헝가리 부다페스트 기반. 중부 · 동부 유럽 회사를 대상으로 한다. Intigriti보다 가볍고 가격이 낮아, 작은 SaaS · 정부 산하 기관이 도입 부담을 덜고 들어온다.

이 둘은 글로벌 시장 점유율은 작지만, "현지 결제 + 현지 컴플라이언스 + 현지 헌터 커뮤니티" 라는 결합으로 자기 권역에서는 의외로 강하다.

12장 · AI 버그 바운티 — Anthropic Model Safety Bounty · OpenAI Cybersecurity Grant

2024년부터 AI 그 자체가 표적이 된 새 카테고리가 열렸다.

**Anthropic Model Safety Bounty(2024년 8월).** Anthropic이 자기 Constitutional Classifier(헌법적 AI 안전 분류기)에 대해 공개 바운티를 열었다. 표적은 "universal jailbreak" — 단 한 번의 프롬프트로 모든 안전 카테고리를 동시에 우회하는 공격. 보상은 단건 최대 $15K 수준. 2025년에 추가 라운드가 진행되며 RSP(Responsible Scaling Policy)와 연동된 평가 항목으로 확장된다.

**OpenAI Cybersecurity Grant Program.** OpenAI가 2023 ~ 2024년부터 학계 · 보안 연구자에게 그랜트를 지급한 프로그램. 바운티라기보다 연구 자금이지만, 결과물은 GPT 시리즈 안전성 평가에 직접 반영된다. 라운드별 총 자금 $1M 단위.

**HackerOne · Bugcrowd의 AI Red Teaming 라인.** 기존 바운티 플랫폼이 LLM · 멀티모달 표적용 별도 라인을 키운다. 보고 카테고리도 일반 OWASP가 아니라 OWASP LLM Top 10(프롬프트 인젝션, 학습 데이터 누출, 출력 처리 미흡 등)을 따른다.

**왜 별도 분류인가.** AI 표적은 전통 보안과 달리 "재현 가능한 익스플로잇"이라는 개념이 흐릿하다. 같은 프롬프트가 어제는 막혔다가 오늘은 통할 수 있다. 그래서 보상도 "재현 가능한 자카이라크 일관성", "심각도", "범용성" 같은 새 기준으로 평가된다.

13장 · CVE 프로그램 — MITRE · NIST NVD, 그리고 2024 ~ 2025년 백로그 위기

플랫폼들이 보고서를 받는 것과 별개로, 공식 식별자(CVE ID)는 다른 트랙에서 발급된다.

**CVE Program.** 1999년 MITRE가 시작. 공개된 취약점에 CVE-YYYY-NNNNN 형식의 고유 식별자를 발급한다. 약 400개의 CNA(CVE Numbering Authority)가 자기 권역에서 CVE를 직접 발급할 수 있다 — Microsoft · Red Hat · GitHub 등. 2026년 누적 발급 약 35만건 추정.

**NIST NVD.** CVE에 심각도(CVSS), CPE, CWE 같은 보강 데이터를 더해 검색 가능한 데이터베이스로 만든다. 미국 NIST 운영.

**2024 ~ 2025년 위기.** 두 가지 사건이 산업을 흔들었다.

1. **NVD 백로그 폭증.** 2024년 봄부터 NIST가 새 CVE를 충분히 빠르게 enrich 하지 못해 대량 백로그가 쌓였다. 한때 8만건 이상이 분석 대기열에 머물렀다.

2. **MITRE 계약 만료 위기(2025년 4월).** MITRE의 CVE Program 운영 계약이 만료될 뻔하면서, CISA가 마지막 순간 11개월 연장 자금을 댔다. 그 사이 EU에서는 ENISA가 자체 취약점 데이터베이스 EUVD(EU Vulnerability Database)를 운영하기 시작했다.

**결과.** 산업은 단일 NVD 의존을 줄이는 방향으로 움직였다. GitHub Advisory · OSV.dev · VulnCheck · CISA KEV · ENISA EUVD가 보완 소스로 자리 잡았고, 사내 SBOM · 취약점 매칭은 여러 소스를 합치는 방향으로 표준화되어 간다.

14장 · VDP 표준화 — CISA BOD 20-01과 EU CRA

바운티가 선택이라면, VDP(Vulnerability Disclosure Program)는 사실상 의무가 되어 가는 중이다.

**CISA BOD 20-01(2020년 9월).** 미국 국토안보부 산하 CISA의 Binding Operational Directive. 모든 미국 연방 행정기관에 다음을 요구한다.

1. 외부 보안 연구자가 취약점을 보고할 수 있는 공식 채널(보통 security.txt)

2. 보고자에게 30일 이내 응답

3. 무 법적 위협 약속(법적 면책 명시)

4. 공시 정책 공개

**EU CRA(Cyber Resilience Act).** 2024년 발효, 2027년 12월 완전 적용. EU에서 판매되는 모든 디지털 제품(소프트웨어 + 하드웨어)에 대해 다음을 요구한다.

1. 액티브 익스플로잇 24시간 이내 ENISA · CSIRT 보고

2. CVD(Coordinated Vulnerability Disclosure) 정책 공개

3. 패치 제공 기간 최소 5년(또는 합리적 기간)

4. SBOM 보유

**결과.** 자체 보안팀이 작은 회사도 최소 VDP 채널은 두어야 한다. HackerOne Response · Bugcrowd VDP · Intigriti VDP · YesWeHack VDP가 무상 또는 저비용 SaaS로 이 자리를 노린다. "security.txt 파일 한 개 두고 적당히 응답하면 된다"는 시대는 끝나간다.

15장 · 한국 — KISA · 토스 · 카카오의 풍경

한국은 글로벌 플랫폼 점유율이 작지만, 자체 생태계가 활성화되어 있다.

**KISA(한국인터넷진흥원) 버그 바운티.**

1. 매년 "버그 바운티 페스티벌" 운영. 정해진 국내 사이트 풀(공공 · 민간)을 헌터가 동시에 본다.

2. 보고서는 KrCERT/CC 채널로 들어가고, 보상은 정부 예산 + 참여기업 매칭. 한 건당 보통 50만원 ~ 1천만원대.

3. 영어가 아닌 한국어 보고서를 받는다는 점이 큰 차이.

**토스(비바리퍼블리카).** 2019년부터 자체 바운티를 일관되게 운영. 최고 보상 1억원대 사례가 알려져 있고, 핀테크 표적 특성상 critical 한 건의 영향이 크다. 보고는 자체 채널 + HackerOne 부분 활용.

**카카오.** 카카오 보안 페이지에 VDP + 바운티 채널을 함께 두고 있다. 라인 산하 도메인을 묶어 운영하고, 보상은 자체 등급에 따라 산정한다.

**라인(LY 코퍼레이션, 한일 합작).** 일본 LY 측에서 본 챕터 16의 일본 시장과도 겹친다. 한국 헌터 입장에서는 일본 본사 도메인이 추가 표적으로 들어온다.

**언어 · 결제 · 세무 문제.** 한국 헌터가 글로벌 플랫폼에서 받는 보상은 외화 수령으로 처리되어 세무 신고 의무가 따라온다. KISA 페스티벌 · 토스 · 카카오 같은 국내 채널이 한국 헌터에게 친화적인 이유 중 하나는 단순한 보상 절차다.

16장 · 일본 — IPA · ZOZO · Mercari · LY · DMM

일본은 한국과 다른 길로 갔다.

**IPA(독립행정법인 정보처리추진기구).** J-CSIP(Initiative for Cyber Security Information sharing Partnership) · ISACなど의 정보 공유 네트워크를 운영하지만, 직접 바운티 페스티벌을 여는 모델은 아니다. 대신 "취약점 관계법 가이드"를 통해 사기업 VDP 도입을 장려한다.

**ZOZO.** 패션 이커머스. 2019년 자체 바운티를 시작했고, 일본 최초의 본격적 사기업 바운티 중 하나. HackerOne을 부분 활용.

**Mercari.** C2C 마켓플레이스. 자체 바운티 프로그램을 일찍 갖췄고, HackerOne · BugBounty.jp 위에서 운영한다.

**LY Corporation(라인 + 야후 재팬 통합).** 2023년 통합 후 본격적인 단일 바운티를 운영. 광범위한 도메인(LINE · Yahoo · PayPay)을 묶어 보고를 받는다.

**DMM.** 컨텐츠 · 게임 · 핀테크 복합 회사. 자체 바운티 + 일본 내 플랫폼 활용.

**BugBounty.jp.** 일본 현지 플랫폼. 일본어 UI · 일본 세무 친화 결제. 한국의 KISA 풀처럼 일본 헌터에게 진입 장벽이 낮다.

**한일 차이 요약.** 한국은 KISA 같은 공공 페스티벌 + 대형 사기업 자체 바운티로 양분된다. 일본은 IPA가 가이드를 줄 뿐 직접 바운티를 운영하지 않고, 대신 ZOZO · Mercari · LY · DMM 같은 사기업이 각자 운영한다. 둘 다 글로벌 플랫폼보다 자체 채널 비중이 더 크다.

17장 · 어떻게 시작할까 — 헌터 입장과 회사 입장

마지막 장은 두 갈래로 나뉜다.

헌터 입장 — 처음 1년

1. **OWASP Top 10 · OWASP API Top 10 · OWASP LLM Top 10**을 처음부터 끝까지 한 번 통독한다. 보고서 카테고리는 거의 다 여기서 나온다.

2. **PortSwigger Web Security Academy**를 무료로 끝낸다. SSRF · IDOR · 인증/세션 · CORS · 인젝션 카테고리를 손에 익힌다.

3. **HackerOne · Bugcrowd · Intigriti**에 계정을 만들고, **공개 VDP** 부터 시작한다. 보상이 없어도 첫 보고서 흐름을 익히는 데 가장 좋다.

4. **Open Bug Bounty**에서 학습용 보고서 2 ~ 3개를 만들어 본다. 단, 사전 동의 없는 테스트는 자기 권역의 법(한국 정보통신망법, 일본 부정액세스금지법, 미국 CFAA)을 미리 확인한다.

5. **국내 채널 활용.** 한국 헌터라면 KISA 페스티벌 · 토스 · 카카오부터, 일본 헌터라면 BugBounty.jp · ZOZO · Mercari · LY부터. 영어 보고서 부담 없이 시작할 수 있다.

6. **방향 선택.** 6개월 후 어느 카테고리에 머물 것인지 고른다 — 전통 웹/모바일이면 HackerOne · Intigriti, 매니지드 펜테스트가 직업이면 Cobalt Core · Synack SRT 인터뷰, 스마트 컨트랙트면 Immunefi · Code4rena · Sherlock.

회사 입장 — 처음 6개월

1. **VDP 부터 시작.** 정식 바운티 전에 security.txt와 보고 채널을 둔다. CISA BOD 20-01 템플릿, 또는 disclose.io 의 무료 가이드를 그대로 쓴다.

2. **무 법적 위협 약속.** Safe Harbor 문구를 정책에 명시한다. CFAA · 정보통신망법 · 부정액세스금지법에 대해 헌터를 면책한다는 약속 없이는 진지한 헌터가 들어오지 않는다.

3. **컴플라이언스 매칭.** SOC 2 / ISO 27001 / PCI / GDPR / NIS2 / DORA / CRA 중 어떤 보고서가 필요한지 확인하고 플랫폼을 고른다. 미국 정부면 HackerOne · Synack · Bugcrowd, EU면 Intigriti · YesWeHack, 글로벌 SaaS면 HackerOne · Bugcrowd.

4. **트리아지 인력 또는 매니지드.** 첫 6개월은 매니지드 옵션을 켜는 게 거의 항상 맞다. 사내 트리아지팀을 처음부터 키우면 노이즈에 묻힌다.

5. **상금 곡선.** P1(critical) 부터 P5(informational)까지 등급별 상금을 명시한다. critical을 시장 평균보다 약간 높게 깔면 시리어스한 헌터가 들어온다.

6. **사전 사적 베타.** 공개 프로그램 전에 30 ~ 90일 사적 베타로 신뢰 헌터만 초대해 워밍업한다. 들어올 보고서 양과 종류를 미리 본다.

18장 · 글을 마치며 — 같은 산업, 네 개의 결

처음 도식에서 본 네 분면이 결국 결론이다.

1. **매니지드 Web2.** HackerOne Clear · Bugcrowd Managed · Synack · Cobalt.io. 신원 확인된 헌터, 트리아지 대행, 컴플라이언스 보고서. 비용이 큰 만큼 결과 품질이 보장된다.

2. **셀프호스팅 Web2.** HackerOne SaaS · Bugcrowd SaaS · Intigriti · YesWeHack · Open Bug Bounty. 사내 트리아지팀을 운영할 의지가 있는 회사에 맞는다.

3. **Web3.** Immunefi(상시 큰 상금) · Code4rena(시간 한정 경연) · Sherlock(감사 + 인슈어런스) · Hats Finance(탈중앙화) · Spearbit(부티크) · HackenProof(하이브리드). 단건 상금이 한 자릿수 백만 달러까지 가는 유일한 권역.

4. **AI.** Anthropic Model Safety · OpenAI Cybersecurity Grant · HackerOne / Bugcrowd AI Red Teaming. 표적이 모델 자체. 평가 기준이 일반 OWASP가 아니라 OWASP LLM Top 10 + 모델 안전성 정책.

그 위로 두 가지가 가로지른다. 첫째, CVE / NVD라는 공식 식별자 트랙이 모든 분면을 관통한다. 둘째, VDP가 CISA BOD 20-01과 EU CRA를 통해 사실상 의무가 된다.

2026년의 한 줄 요약은 단순하다. **버그 바운티는 더 이상 "공개 프로그램에 누가 들어와 보고를 던지는" 단일 산업이 아니다.** 매니지드 / 셀프호스팅 / Web3 / AI 네 산업이고, 각각 다른 가격, 다른 컴플라이언스, 다른 헌터 풀, 다른 보상 곡선을 가진다. 회사도 헌터도 자기 자리를 정해야 한다 — 그게 이 글의 한 줄.

참고 / References

- HackerOne — https://www.hackerone.com

- HackerOne Hacktivity (공개 보고서) — https://hackerone.com/hacktivity

- Bugcrowd — https://www.bugcrowd.com

- Bugcrowd Crowdcontrol — https://www.bugcrowd.com/products/crowdcontrol/

- Intigriti — https://www.intigriti.com

- Intigriti 1337UP Live Hacking — https://www.intigriti.com/1337up

- Synack — https://www.synack.com

- Synack Red Team — https://www.synack.com/red-team/

- YesWeHack — https://www.yeswehack.com

- YesWeHack Dojo — https://dojo-yeswehack.com

- Open Bug Bounty — https://www.openbugbounty.org

- Cobalt.io — https://www.cobalt.io

- Cobalt Core — https://www.cobalt.io/core

- Immunefi — https://immunefi.com

- Immunefi Bug Bounty Programs — https://immunefi.com/explore/

- Code4rena — https://code4rena.com

- Sherlock — https://www.sherlock.xyz

- Hats Finance — https://hats.finance

- Spearbit — https://spearbit.com

- HackenProof — https://hackenproof.com

- BugBase (India) — https://bugbase.ai

- Hackrate — https://hackrate.com

- Anthropic Model Safety Bounty (2024.8) — https://www.anthropic.com/news/model-safety-bug-bounty

- Anthropic Responsible Scaling Policy — https://www.anthropic.com/news/anthropics-responsible-scaling-policy

- OpenAI Cybersecurity Grant Program — https://openai.com/index/cybersecurity-grant-program/

- OWASP LLM Top 10 — https://owasp.org/www-project-top-10-for-large-language-model-applications/

- CVE Program (MITRE) — https://www.cve.org

- NIST NVD — https://nvd.nist.gov

- CISA KEV (Known Exploited Vulnerabilities) — https://www.cisa.gov/known-exploited-vulnerabilities-catalog

- ENISA EUVD — https://euvd.enisa.europa.eu

- CISA BOD 20-01 — https://www.cisa.gov/news-events/directives/bod-20-01-develop-and-publish-vulnerability-disclosure-policy

- EU Cyber Resilience Act (CRA) — https://digital-strategy.ec.europa.eu/en/policies/cyber-resilience-act

- disclose.io — https://disclose.io

- security.txt RFC 9116 — https://www.rfc-editor.org/rfc/rfc9116

- OWASP Top 10 — https://owasp.org/www-project-top-ten/

- OWASP API Security Top 10 — https://owasp.org/API-Security/

- PortSwigger Web Security Academy — https://portswigger.net/web-security

- KISA 버그 바운티 — https://www.krcert.or.kr

- 토스 보안 보고 — https://toss.tech/security

- 카카오 보안 — https://www.kakaocorp.com/page/responsibility/security

- IPA 일본 — https://www.ipa.go.jp/security/

- ZOZO 보안 — https://corp.zozo.com/en/security/

- Mercari 보안 — https://about.mercari.com/en/security/

- LY Corporation 보안 — https://www.lycorp.co.jp/en/security/

- BugBounty.jp — https://bugbounty.jp

- GitHub Advisory Database — https://github.com/advisories

- OSV.dev — https://osv.dev

- VulnCheck — https://vulncheck.com

현재 단락 (1/202)

2026년 5월, 버그 바운티는 더 이상 "취미 개발자가 해커 영화를 흉내내는 곳"이 아니다. 2012년 HackerOne 창립 이후 14년, 산업은 세 단계를 거쳐 어른이 되었다...

작성 글자: 0원문 글자: 14,173작성 단락: 0/202