CVD/VDP 시범사업용 취약점 신고·공개 정책

토스페이먼츠 주식회사(이하 '본 기업')는 외부 정보보호연구자를 통한 취약점 발굴·신고 및 신고된 취약점의 조치·공개까지의 모든 과정에서 정보통신망법, 개인정보보호법, 저작권법 등 우리나라 관련 법령을 준수합니다.

※ 정보보호연구자(화이트 해커, 윤리적 해커) : 침해사고 예방을 위한 선의의 목적으로 정보통신망 서비스 또는 디지털 제품의 취약점을 찾아 제보하는 개인 또는 조직(국가·공공기관, 대학교, 기업 등). 다만, 이번 시범사업에서 조직은 제외

본 기업은 과학기술정보통신부·한국인터넷진흥원이 실시하는「취약점 신고·조치·공개제도(CVD/VDP) 시범사업」참여기업으로, 본 기업의 취약점 신고·공개 정책(VDP, Vulnerability Disclosure Policy)은 2026년 6월 29일부터 2026년 7월 24일까지 한국인터넷진흥원에 신고된 취약점이 조치 및 공개될 때까지 적용됩니다.

1. 취약점 발굴 허용 대상자

본 기업은 아래 사항을 모두 충족한 정보보호연구자에 한하여 취약점 발견을 허용합니다.

• (1) 만 19세 이상의 대한민국 국적자(시범사업 참가 신청일 기준)
• (2) 시범사업 참가 신청서를 제출한 자
• (3) 개인정보 수집·이용 동의서를 제출한 자
• (4) 시범사업 관련 교육을 이수한 자
• (5) 취약점 신고·공개 정책 준수 서약서를 제출한 자
• (6) 개인정보보호법에 따라 개인정보처리위탁 계약을 체결한 자

2. 취약점 발굴 허용 범위

본 기업은 한국인터넷진흥원이 제공하는 VPN을 통해서만 서비스 취약점 발굴 행위를 허용하며, 본 기업이 취약점 발견을 허용하는 범위는 아래와 같습니다.

• (1) 정보통신망 서비스명

  • 토스페이먼츠 대표 홈페이지(https://www.tosspayments.com)
  • 개발자센터(https://developers.tosspayments.com)

3. 취약점 발견 허용 기간

본 기업이 정보보호연구자에게 취약점 발견을 허용하는 기간은 2026년 6월 29일부터 2026년 7월 21일까지입니다.

4. 취약점 신고 및 접수

• (1) 신고 방법 :

  • 한국인터넷진흥원(파인더갭) (https://hacker.findthegap.co.kr/)
  • 포털 비회원일 경우는 회원가입 필수
• (2) 신고자 정보 : 이름, 휴대전화번호, 이메일 등 사이버 보안 취약점 정보 포털 내 취약점 신고에 필요한 사항 (취약점별 1인 신고만 가능)
• (3) 신고 기한
  정보보호연구자는 취약점을 발견할 경우, 취약점을 발견한 때부터 72시간 이내에 신고해야 하며, 발견 취약점을 통해 정보보호연구자가 정보통신망에 침입한 경우에는 취약점 발견 행위를 즉시 중단하고 망에 침입한 때부터 12시간 이내에 신고해야 합니다.
  ※ 망에 침입한 때 : 취약점 공격이 성공하여 망에 침입한 시점
• (4) 신고 내용
  정보보호연구자는 취약점이 발견된 서비스 또는 제품명, 취약점 발견 일시, 취약점 증명 내용(PoC, Proof of Concept), 취약점 악용 시나리오, 망침입 시점(해당하는 경우) 등을 제출해야 합니다.
• (5) 신고 취약점 공유
  본 기업은 한국인터넷진흥원으로부터 취약점 신고자 정보 및 취약점 내용을 공유받은 후, 취약점 조치를 목적으로 관련 서비스 사업자 또는 디지털제품·소프트웨어의 제조사·유통사·수입사 등 공급사에게 취약점 내용을 공유할 수 있습니다(취약점 신고자 정보는 공급사 공유에서 제외).

5. 유효 취약점 제외 대상

본 기업은 신고받은 취약점이 아래의 유효 취약점 제외 대상에 포함될 경우, 취약점 조치 및 공개 대상에서 제외할 수 있으며 제외된 사유를 한국인터넷진흥원으로부터 공유받은 날로부터 14일 이내에 정보보호연구자에게 안내합니다.

• (1) 취약점이 재현되지 않는 경우
• (2) 너무 많은 사용자의 개입 또는 사용자의 극단적인 개입이 필요한 경우
• (3) 보안 기능을 끄고 취약점을 발생시킨 경우
• (4) 구체적인 증빙 없이 가능성만을 신고한 경우
• (5) 동일 취약점이 중복으로 신고된 경우
• (6) 서비스 거부 공격

• (7) 그 밖에 위험성이 적다고 판단되는 모든 취약점 유형

  • 횟수 제한 미 적용
  • 구 버전 라이브러리/소프트웨어 사용
  • 관리자 페이지 노출
  • 디버깅 응답 값 노출

6. 취약점 공개

• (1) 공개 가능 시기

  • ① 정보보호연구자는 본 기업이 한국인터넷진흥원으로부터 취약점 신고내용을 공유받은 날부터 120일이 경과한 후 해당 취약점을 공개할 수 있습니다.
  • ② 본 기업은 한국인터넷진흥원으로부터 취약점 신고내용을 공유받은 날부터 120일 이내에 패치 등 보안 조치를 한 이후 해당 취약점을 공개합니다.
  • ③ 본 기업은 정보보호연구자의 문의가 있을 경우 보안 조치 진행상황을 알려줍니다.
  • ④ 취약점 공개 위치는 KISA(https://knvd.krcert.or.kr)이며, 정보보호연구자가 희망할 경우 취약점 발견자를 실명 또는 익명으로 명시할 수 있습니다.
  • ⑤ 본 기업은 취약점 공개 가능 시기가 도래하기 전에 정보보호연구자에게 공개 시기를 알릴 수 있습니다.
  • ⑥ 정보보호연구자는 신고한 취약점을 공개하기 전에 본 기업과 합의하여야 합니다.

• (2) 공개 시기 연기

  • ① 본 기업은 (1)에도 불구하고 취약점에 대한 보안조치를 위해 정보보호연구자에게 공개시기 연기를 요청할 수 있습니다. 이때 연기 기간은 60일 이내에서 본 기업과 정보보호연구자 간 협의를 통해 정합니다.
  • ② 본 기업이 정보보호연구자에게 공개 시기 연기를 요청할 경우 그 사유를 설명합니다.

7. 준수사항

• (1) 정보보호연구자는 본 기업의 취약점 신고·공개 정책을 준수하는 범위 내에서만 정보통신망법 제48조 제1항에 따른 '접근권한'을 부여받은 것으로 봅니다. 본 기업은 정보보호연구자가 이 취약점 신고·공개 정책을 위반하는 경우 정보통신망법 제48조 제1항에 따른 침입행위를 한 것으로 간주합니다.
• (2) 정보보호연구자가 개인정보보호법에 부합하기 위해서는 본 기업의「취약점 신고·공개 정책」과 「개인정보처리위탁 계약서」에서 정한 사항을 준수해야 하며, 내용이 상충하는 경우, 개인정보 보호에 관한 사항은 본 계약이, 그 외의 사항은 VDP가 우선합니다.
• (3) 취약점을 발견하는 과정 중에「개인정보 보호법」에 따른 개인정보, 「신용정보의 이용 및 보호에 관한 법률」에 따른 신용정보, 「부정경쟁방지 및 영업비밀보호에 관한 법률」에 따른 영업비밀 등의 정보를 접근 또는 열람하였을 때는, 취약점 발견 활동을 즉시 중단하고 본 기업에게 그 사실을 알려야 합니다. 또한 취약점 증명을 위해 화면캡처 필요 등 불가피한 경우, 반드시 해당 부분을 모자이크 또는 마스킹 처리하여 알아볼 수 없도록 하여야 하며 신고 후 즉시 삭제해야 합니다.
• (4) 정보보호연구자는 취약점 발견 행위 중단 이후 취약점 발견 행위 재개와 관련하여서는 본 기업의 승인을 받아야 합니다.

8. 금지사항

• (1) 정보보호연구자는 취약점 신고 또는 공개 등과 관련하여 어떠한 금전적인 대가도 요구해서는 안됩니다.
• (2) 정보보호연구자는 발견한 취약점을 본 기업 또는 한국인터넷진흥원 이외의 제3자에게 신고하여서는 안되며, 발견한 취약점에 대해 사적 이용 등 VDP의 범위를 벗어난 행위를 하여서는 안됩니다.
• (3) 정보보호연구자는 취약점을 발견하는 과정 중 개인정보, 신용정보, 영업비밀 등의 정보를 접근 또는 열람하였을 때는, 접근 또는 열람한 정보를 기록·저장·보유·출력 등 처리하거나 제3자에게 유출(정보가 본 기업의 통제 범위를 벗어나 제3자가 그 내용을 알 수 있는 상태에 이르게 된 것을 총칭한다) 하여서는 안됩니다.
• (4) 정보보호연구자는 취약점 발견 허용 범위의 프로그램을 취약점 발견 목적 외로 사용하여서는 안되며, 취약점 발견 목적 외로 프로그램 코드를 역분석 하여서는 안됩니다.
• (5) 정보보호연구자는 발견한 취약점을 악용하여 악성프로그램 설치, 전달, 또는 유포하여서는 안되며, 정보통신망 서비스, 데이터 또는 프로그램 등을 훼손, 멸실, 변경, 또는 위조하여서는 안됩니다.
• (6) 정보보호연구자는 취약점 발견을 위해 디도스 등을 통해 정보통신망 서비스, 디지털제품, 소프트웨어 어플리케이션의 안정적 운영을 훼손하여서는 안됩니다.
• (7) 정보보호연구자는 취약점 발견을 위해 피싱, 보이스 피싱 등의 사회공학적 방법을 사용하여서는 안됩니다.
• (8) 정보보호연구자는 취약점 발견을 위해 물리적인 공격을 사용하여서는 안됩니다.
• (9) 허용된 도메인 외 서브 도메인에 공격 시 차단이 될 수 있습니다. 취약점 발견 시 허용된 도메인이 맞는 지 확인해야 합니다.

9. 법적 보호

• (1) 본 기업은 취약점에 대한 정보보호연구자의 선제적 발견 및 신고, 책임있는 공개를 장려하기 위해, 정보보호연구자가「취약점 신고·공개 정책」을 준수한 경우, 정보보호연구자의 행위를 선의의 정보보호연구(good faith security research)로 간주하고 어떠한 법적 문제를 제기하지 않습니다.
• (2) 본 기업은 제3자가「취약점 신고·공개 정책」에 따라 수행된 정보보호연구자의 행위를 이유로 정보보호연구자를 상대로 법적 조치를 제기하는 경우, 본 기업은 정보보호연구자의 행위가 본 정책을 준수하였음을 알리겠습니다.

10. 연락처

• (1) 본 기업 : 취약점 신고·공개 정책(VDP)에 따른 취약점 발굴·신고·조치·공개

  • 이메일 : security.team@tosspayments.com

• (2) 한국인터넷진흥원(파인더갭*) : 시범사업 운영 지원

  • 전화번호 : 02-405-6697
  • 이메일 : cvd@kisa.or.kr
  • * CVD/VDP 시범사업 운영 지원을 위한 한국인터넷진흥원 사업 수행사

11. 문서 이력