XM은(는) 미국 국적의 시민에게 서비스를 제공하지 않습니다.

XM은(는) 미국 국적의 시민에게 서비스를 제공하지 않습니다.

취약성 공개 정책

  1. XM KR
  2. 취약성 공개 정책

1. 개요

Trading Point Group(이하 "Trading Point")는 고객 데이터를 보호하기 위해 사이버 보안 커뮤니티에 접근할 필요성을 인식하고 보다 안전한 솔루션 및 애플리케이션을 만들기 위해 협력합니다. 이 정책은 보안 연구자에게 취약성 검색 활동을 수행하기 위한 명확한 지침을 제공하고 발견된 취약성을 당사에 제출하는 방법에 대한 기본 설정을 전달하기 위한 것입니다.

연구자들은 Trading Point 시스템과 관련하여 발견할 수 있는 취약성을 자발적으로 보고하는 것을 환영합니다. 본 정책은 본 정책에서 다루는 시스템 및 연구 유형과 취약성 보고서를 당사에 제출하는 방법을 설명합니다.

취약성 보고서 제출은 이 페이지에 명시된 약관에 따라 결정되며, 연구자는 취약성 보고서를 Trading Point에 제출함으로써 이러한 약관을 읽고 동의했음을 인정합니다.

2. 이용 약관

2.1. 세이프 하버 및 허가

취약성 연구를 수행하고 본 정책을 준수하기 위한 성실한 노력에 따라, 당사는 다음 사항과 같이 귀하의 연구를 고려합니다.

  • 귀하의 연구가 적용되는 해킹 방지법과 관련하여 승인된 것으로 간주하며 귀하의 연구를 위해 귀하에 대한 법적 조치를 권장하거나 추구하지 않습니다.

  • 귀하의 연구가 관련 우회 방지법에 대해 권한을 부여받았으며, 당사는 기술 통제 회피에 대해 귀하에게 클레임을 제기하지 않을 것입니다.

  • 귀하의 연구는 합법적이고, 인터넷의 전반적인 보안에 도움이 되며, 성실하게 수행됩니다.

귀하의 연구는 모든 해당 법률을 준수해야 합니다. 본 정책에 따라 선의로 수행한 활동에 대해 제3자가 귀하를 상대로 법적 조치를 시작하는 경우, 당사는 이에 대해 승인할 것임을 알려드립니다.

귀하의 보안 연구가 본 정책과 일치하는지 여부에 대한 우려가 있거나 불확실한 경우, 계속 진행하기 전에 당사의 공식 채널(아래) 중 하나를 통해 보고서를 제출하시기 바랍니다.

세이프 하버는 본 정책에 참여하는 조직의 통제 하에 있는 법적 권리에만 적용되며, 본 정책은 독립적인 제3자를 법적으로 구속하지 않습니다.

2.2. 지침

본 정책에서 "연구"란 다음과 같은 활동을 의미합니다:

  • 실제 또는 잠재적인 보안 문제를 발견한 후 가능한 한 빨리 알려주십시오.

  • 개인 정보 침해, 사용자 환경 저하, 운영 시스템 중단, 데이터 파괴 또는 조작을 방지하기 위해 모든 노력을 기울이십시오.

  • 취약성의 존재를 확인하는 데 필요한 범위까지만 공격을 허용하십시오. 공격을 사용하여 데이터를 손상 또는 유출, 영구 명령 라인 접근을 설정, 또는 공격을 통해 다른 시스템으로 피벗하지 마십시오.

또한 다음 사항도 지켜주시기 바랍니다:

  • 본 정책 및 기타 관련 계약을 준수하는 것을 포함하여 규정을 준수해야합니다. 본 정책과 다른 적용 조건 간에 불일치가 있는 경우 본 정책의 조건이 우선권을 갖습니다.

  • 오직 본인의 테스트 계좌와 상호 작용해야 합니다

  • 테스트를 위해 계좌 개설을 총 두 개로 제한해야 합니다.

  • 오직 공식 채널을 통하여 취약성 정보에 대해 공개하거나 당사와 논의해야 합니다.

  • 영향을 입증하기 위해 취약성을 체인으로 연결해야 하는 경우를 제외하고 보고서당 하나의 취약성을 제출해야 합니다.

  • 보고서가 제출되면 검색 중에 검색된 모든 데이터를 안전하게 삭제해야 합니다.

  • 범위 내 시스템에 대해서만 테스트를 수행하고 범위를 벗어난 시스템 및 활동을 존중해야 합니다.

  • 취약성을 찾기 위해 고강도 공격 또는 자동 검색 도구를 사용하지 않도록 해야 합니다.

  • Trading Point의 사전 서면 동의 없이 취약성을 공개하지 마십시오.

  • "서비스 거부" 공격을 수행하지 마십시오.

  • Trading Point의 사무실, 사용자 또는 직원에 대해 소셜 엔지니어링 및/또는 물리적 보안 공격을 수행하지 마십시오.

  • 웹 양식, 특히 고객이 당사 고객 관리 팀에 연락할 수 있도록 설계된 "고객 문의" 양식에 대해 자동화/스크립트로 작성된 테스트를 수행하지 마십시오.

취약성이 존재하거나 중요한 데이터(개인 식별 정보(PII), 재무 정보, 소유권 정보 또는 거래 기밀 포함)를 실수로 발견한 경우에는 테스트를 중지하고 당사에 즉시 통보해야 하며 이 데이터를 다른 사용자에게 공개해서는 안 됩니다. 또한 증명을 효과적으로 시연하는 데 필요한 최소 데이터로 액세스를 제한해야 합니다.

2.3. 취약성/공식 채널 보고

보안 문제/실제 또는 잠재적 취약성 발견 사항을 vulnerability.disclosure@xm.com(으)로 보고하여 모든 관련 정보를 제공하십시오. 더 자세한 정보를 제공할수록 문제를 분류하고 해결하는 것이 더 쉬워집니다.

제출의 우선 순위를 지정하고 분류하는 데 도움이 되도록 보고서에 대한 아래의 내용을 준수해주시기 바랍니다:

  • 보고서에 취약성이 발견된 위치 또는 응용 프로그램 경로와 공격의 잠재적인 영향을 설명하는 것이 좋습니다.

  • 취약성을 재현하는 데 필요한 단계에 대한 자세한 설명을 제공합니다(개념 증명 스크립트 또는 스크린샷이 유용함).

  • 가능한 한 많은 세부 정보를 포함합니다.

  • 테스트 대상 IP 주소, 전자 메일 주소, 사용자 에이전트 및 거래 플랫폼에서 사용되는 사용자 이름(있는 경우)을 포함합니다.

  • 가능하다면 영어로 작성해주십시오.

취약성이 심각하거나 중요한 정보가 포함되어 있다고 생각되는 경우 PGP 키를 사용하여 팀에 PGP 암호화된 전자 메일을 보낼 수 있습니다.

2.4. 범위

a) 범위 내 시스템/서비스

영역 Android 앱 iOS 앱

https://www.xm.com/kr

https://my.xm.com/kr

XM Android 어플리케이션 (com.xm.webapp)

XM iOS 어플리케이션 (id1072084799)

b) 범위를 벗어난 시스템/서비스

위의 "범위 내 시스템/서비스" 섹션에 명시적으로 나열되지 않은 모든 서비스(예: 연결된 서비스), 시스템 또는 도메인은 범위에서 제외되며 테스트를 위해 승인되지 않습니다. 또한 공급업체의 시스템에서 발견된 취약성은 이 정책의 범위를 벗어나며, 공개 정책(있는 경우)에 따라 공급업체에 직접 보고해야 합니다. 시스템이 범위 내에 있는지 여부를 모를 경우 vulnerability.disclosure@xm.com(으)로 문의하십시오.

c) 범위 내 취약성

  • SQL 인젝션

  • 사이트 간 스크립팅(XSS)

  • 원격 코드 실행(RCE)

  • 서버 측 요청 위조(SSRF)

  • 인증 및 세션 관리 중단

  • 안전하지 않은 직접 객체 참조(IDOR 공격)

  • 민감한 데이터 노출

  • 디렉토리/경로 횡단

  • 로컬/원격 파일 포함

  • 높은 영향력을 입증할 수 있는 크로스 사이트 요청 위조(CSRF)

  • 중요한 매개 변수에 대한 리디렉션 열기

  • 서브도메인 테이크오버(서브도메인 테이크오버의 경우 다음과 같은 우호적인 메시지를 추가합니다. "작업 중이며 곧 돌아올 것입니다.")

d) 범위 밖 취약성

특정 취약성은 취약성 노출 프로그램의 범위를 벗어난 것으로 간주됩니다. 특정 취약성은 취약성 노출 프로그램의 범위를 벗어난 것으로 간주됩니다. 이러한 범위를 벗어나는 취약성에는 다음이 포함되지만 이에 국한되지는 않습니다:

  • SPF, DKIM, DMARC 설정을 포함한 메일 구성 문제

  • 계좌 수정과 같은 중요한 작업으로 이어지지 않는 클릭잭킹 취약성

  • Self-XSS(즉, 사용자가 웹 브라우저에 코드를 붙여넣도록 속여야 하는 경우)

  • 영향이 결과적으로 최소인 콘텐츠 스푸핑(예: non-HTML 텍스트 주입)

  • 영향이 결과적으로 최소인 교차 사이트 요청 위조(CSRF)(예: 로그인 또는 로그아웃 양식의 CSRF)

  • 개방형 리디렉션 - 추가적인 보안 영향을 입증할 수 없는 경우

  • 영향이 결과적으로 최소인 CRLF

  • 영향이 결과적으로 최소인 호스트 헤더 주입

  • 중요하지 않은 쿠키에 HttpOnly 또는 Secure 플래그 누락

  • SSL/TLS 구성 및 암호에 모범 사례 누락

  • HTTP 보안 헤더가 없거나 잘못 구성됨(예: CSP, HSTS)

  • 캡차 컨트롤이 없는 양식

  • 로그인 페이지를 통한 사용자 이름/전자 메일 열거 오류 메시지

  • 암호 분실 오류 메시지를 통한 사용자 이름/전자 메일 열거

  • 가능성이 낮은 사용자 상호 작용이 필요한 문제

  • 암호 복잡성 또는 계정 또는 암호 정책과 관련된 기타 문제

  • 세션 시간 초과 부족

  • 무차별 공격

  • 중요하지 않은 작업에 대한 속도 제한 문제

  • 취약성에 대한 증거가 없는 WordPress 취약성

  • 취약성의 증거가 없는 취약한 소프트웨어 버전 노출

  • 서비스 중단으로 이어질 수 있는 모든 활동(DoS)

  • 루트 보호 부족/루트 보호 우회(모바일 애플리케이션)

  • SSL 인증서 고정 부족/SSL 인증서 고정(모바일 애플리케이션) 우회

  • 코드 난독화 부족(모바일 애플리케이션)

2.5. 응답 시간

Trading Point는 최대한 공개적이고 신속하게 귀사와 협력하기 위해 최선을 다하고 있으며, 당사 프로그램에 참여하는 연구원을 위해 다음과 같은 응답 목표를 달성하기 위해 최선을 다하겠습니다:

  • 첫 회답까지의 시간(보고서 제출일로부터)은 영업일 기준 3일입니다. 영업일 기준 3일 이내에 귀하의 보고서가 접수되었음을 알려드립니다.

  • (보고서 제출부터) 분류 기간은 영업일 기준 5일입니다.

당사는 귀사에 대한 취약성의 존재를 최대한 확인하고 해결을 지연시킬 수 있는 문제나 과제뿐만 아니라 교정 프로세스 중에 어떤 조치를 취하고 있는지에 대해 가능한 한 투명하게 대처할 것입니다. 진행 과정 전반에 걸쳐 진행 상황을 지속적으로 알려드리겠습니다.

3. 보상

당사는 본 정책에 따라 보안 취약점을 보고하는 데 시간과 노력을 들이는 분들을 중요하게 생각합니다. 현재 취약성 공개에 대한 보상은 제공하지 않지만 앞으로 변경될 수 있는 사항입니다.

4. 피드백

본 정책에 대한 피드백이나 의견을 제안하려면 vulnerability.disclosure@xm.com로 문의하시기 바랍니다.

Trading Point와 사용자를 안전하게 보호해 주셔서 감사합니다.

5. PGP 키 지문

F096 4A0E CA36 A301 18DF A742 DE89 DE1C 5283 013F

TP 취약성 공개 PGP 키 다운로드

유의: 위의 PGP 키로 메시지를 암호화하고 전자 메일에 자신의 공용 키를 포함하십시오.

계좌 개설하기실거래 계좌 자금 또는 데모 계좌 자금으로 거래 회원 로그인

리스크 경고: 고객님의 자본이 위험에 노출 될 수 있습니다. 레버리지 상품은 모든 분들에게 적합하지 않을수 있습니다. 당사의 리스크 공시를 참고하시기 바랍니다.