주 컨텐츠로 이동
JLL 소개고객 스토리커리어뉴스투자자 관계

취약점 공개 정책
소개
승인
가이드라인
테스트 방법
범위
여러분께 바라는 점
귀하가 저희에게 기대할 수 있는 점
질문

소개

JLL은 기업 부동산 고객들과 협력하여 더 밝은 미래를 만들어갑니다. 여기에는 기업 시스템 보안 강화와 고객 및 파트너로부터 맡겨진 데이터 보호가 포함됩니다. 본 정책은 보안 연구원이 취약점 탐색 활동을 수행함에 있어 명확한 지침을 제공하고, 발견한 취약점을 어떻게 제출하는 것이 바람직한지에 대한 JLL의 선호를 전달하기 위해 마련되었습니다.

JLL은 버그 바운티 프로그램을 운영하지 않습니다. 취약점을 제출함으로써, 귀하는 보상에 대한 어떠한 기대도 가지지 않으며, 제출과 관련된 미래의 보상 청구를 JLL에 대해 명시적으로 포기함을 인정하게 됩니다.

이 정책은 적용 대상 시스템과 연구 유형 , 취약점 리포트 제출 방법 그리고 공개 전 기다려야 하는 기간 에 대해 안내하고 있습니다.

시스템 내 잠재적 취약점을 발견하시면 언제든 저희에게 알려주시길 바랍니다.

승인

보안 연구 과정에서 본 정책을 성실하게 준수하신 경우, 귀하의 연구는 승인된 것으로 간주됩니다. 저희는 귀하와 협력하여 문제를 신속하게 이해하고 해결할 것이며, JLL은 귀하의 연구와 관련해 법적 조치를 권장하거나 진행하지 않습니다. 만약 제3자가 본 정책을 준수한 활동에 대해 법적 조치를 취할 경우, 저희는 이를 승인하였음을 알릴 것입니다.

가이드라인

본 정책에서 "연구"란 다음과 같은 활동을 의미합니다:

  • 실제 또는 잠재적인 보안 문제를 발견한 즉시 저희에게 알려주십시오.
  • 개인정보 유출, 사용자 경험 저하, 운영 시스템 중단, 데이터의 손상 또는 조작을 방지하기 위해 모든 노력을 기울여주십시오.
  • 취약점 존재를 확인하는 데 필요한 범위 내에서만 익스플로잇을 사용하십시오. 익스플로잇을 이용해 데이터를 탈취하거나 손상시키거나, 지속적인 명령어 접근을 설정하거나, 다른 시스템으로 이동하는 데 이용하지 마십시오.
  • 공개적으로 문제를 알리기 전에 저희가 해결할 수 있도록 합리적인 기간을 제공해주십시오.
  • 품질이 낮은 대량의 리포트는 제출하지 마십시오.

취약점이 존재함을 확인하거나 민감한 데이터(개인식별정보, 금융정보, 또는 제3자의 독점 정보 및 영업비밀 등)를 발견한 경우, 즉시 테스트를 중단하고 저희에게 알리며, 해당 데이터를 절대 타인에게 공개해서는 안 됩니다.

테스트 방법

다음 테스트 방법은 허가되지 않습니다:

  • 네트워크 서비스 거부(DoS 또는 DDoS) 테스트 또는 시스템 또는 데이터에 대한 접근을 방해하거나 손상을 주는 기타 테스트.
  • 물리적 테스트(예: 오피스 접근, 열린 문, 테일게이팅), 사회공학 기법(예: 피싱, 비싱) 또는 그 외 비기술적인 취약점 테스트.

범위

이 정책은 JLL이 완전히 소유하고 관리하는 시스템과 서비스에만 적용됩니다. 위에 명확히 명시되지 않은 서비스(연결된 서비스 등)는 범위에서 제외되며 테스트가 허용되지 않습니다. 또한, 당사 공급업체 시스템에서 발견된 취약점은 이 정책의 적용 대상이 아니므로 해당 공급업체의 공개 정책(있는 경우)에 따라 직접 신고해야 합니다. 해당 시스템이 적용 범위인지 확신이 없으실 경우, vulndisclosure@jll.com으로 연락해 주시기 바랍니다.

저희가 다른 인터넷 접속 시스템 또는 서비스의 개발 및 유지 관리를 지원할 수 있으나, 실제 연구 및 테스트는 이 정책 범위 내의 시스템 및 서비스에서만 이루어지길 요청합니다. 만약 범위 외에 테스트가 필요한 특정 시스템이 있다고 생각된다면, 테스트 전에 반드시 저희와 논의해 주시기 바랍니다. 당사는 정책 적용 범위를 지속적으로 검토합니다.

이 정책 하에 제출된 정보는 방어 목적(취약점 완화 또는 수정)에만 사용됩니다. 만약 모든 사용자(단순히 JLL뿐 아니라)가 영향을 받을 수 있는 새로운 취약점을 발견하셨다면, 그 보고서를 미국 사이버 보안 및 인프라 보안국 등에 공유할 수 있으며, 해당 기관에서 취약점 공개 프로세스에 따라 처리될 것입니다. 귀하의 이름이나 연락처 정보는 명시적인 동의 없이 공유하지 않습니다.

저희는 vulndisclosure@jll.com을 통해 취약점 보고를 받고 있습니다. 익명으로도 제출하실 수 있습니다. 연락처 정보를 제공하신 경우, 영업일 기준 3일 이내에 수령 확인을 드립니다.

PGP로 암호화된 이메일은 지원하지 않습니다. 

여러분께 바라는 점

제출 내용을 저희가 분류하고 우선순위를 정하는 데 도움이 되도록, 다음 사항을 권장합니다:

  • 취약점을 발견한 위치와 악용 시 예상되는 영향에 대해 설명해 주십시오. 
  • 취약점을 재현하는 데 필요한 단계를 상세히 설명해 주십시오. (개념 증명 스크립트나 스크린샷이 도움이 됩니다.)
  • 가능하다면 영어로 작성해 주십시오.

귀하가 저희에게 기대할 수 있는 점

연락처 정보를 공유해주시면 저희는 최대한 신속하고 투명하게 소통할 것을 약속드립니다.

  • 영업일 기준 3일 이내에 리포트 접수 여부를 안내해드립니다. 
  • 취약점의 존재 여부를 가능한 한 신속히 확인해드리며, 해결 과정에 대한 단계와 발생 가능한 문제나 지연 사유에 대해 투명하게 안내해드립니다. 
  • 이슈에 대해 지속적으로 소통하며 열린 대화를 유지하겠습니다.

질문

이 정책에 관한 질문은 vulndisclosure@jll.com으로 보내주시면 됩니다. 또한 이 정책을 향상시키기 위한 의견과 제안도 언제든지 환영합니다.