Proton
마지막 수정일: 2025년 7월 30일

취약점 공개 정책

CERN에서 만난 과학자들이 설립한 회사로서 저희는 동료 심사를 신뢰합니다. 그렇기 때문에 저희는 시스템의 보안을 유지하고 민감한 정보가 무단으로 공개되지 않도록 보호하는 데 도움을 주는 독립적인 보안 커뮤니티를 지원합니다. 보안 연구원들이 Proton 제품에서 발견된 잠재적 취약점을 보고하기 위해 저희에게 연락하는 것을 권장합니다.

이 정책은 다음을 명시합니다.

  • 어떤 시스템과 애플리케이션이 범위에 포함되는지
  • 어떤 유형의 보안 연구 방법이 적용되는지
  • 잠재적인 보안 취약점을 저희에게 보고하는 방법
  • 저희의 취약점 공개 철학 및 취약점을 공개적으로 공개하기 전에 귀하에게 얼마나 오래 기다려달라고 요청할 것인지

Proton은 취약점 공개 정책을 준수하는 보고서를 영업일 기준 5일 이내에 접수했음을 알립니다. 접수 후, 저희는 제출 내용을 검증하고 (해당하는 경우) 시정 조치를 시행하며, 보고된 취약점의 처리 결과를 최소한의 지연으로 연구원에게 알리기 위해 노력할 것입니다.

귀하가 보안 연구 중에 이 정책을 준수하기 위해 성실히 노력하는 경우, 저희는 귀하의 연구를 Proton의 법적 세이프 하버 정책에 따라 승인된 것으로 간주할 것입니다. 저희는 귀하와 협력하여 문제를 신속하게 이해하고 해결할 것이며, 귀하의 연구와 관련된 어떠한 조치에 대해서도 법적 조치를 권고하거나 추구하지 않을 것입니다.

테스트 방법

보안 연구원은 다음을 해서는 안 됩니다.

  • 아래의 '범위' 섹션에 명시된 시스템 이외의 시스템을 테스트해서는 안 됩니다.
  • 아래의 '취약점 보고' 및 '공개' 섹션에 명시된 경우를 제외하고 취약점 정보를 공개해서는 안 됩니다.
  • 시설 또는 리소스에 대한 물리적 테스트를 수행해서는 안 됩니다.
  • 소셜 엔지니어링을 수행해서는 안 됩니다.
  • '피싱' 메시지를 포함하여 Proton 사용자에게 원치 않는 이메일을 전송해서는 안 됩니다.
  • '서비스 거부' 또는 '리소스 고갈' 공격을 실행하거나 시도해서는 안 됩니다.
  • Proton 또는 제3자 시스템에 악성 소프트웨어를 유입시켜서는 안 됩니다.
  • Proton 시스템의 운영을 저하시키거나 의도적으로 SEC 시스템을 손상, 중단 또는 비활성화할 수 있는 테스트를 수행해서는 안 됩니다.
  • Proton 시스템과 통합되거나 Proton 시스템으로/부터 연결되는 제3자 애플리케이션, 웹사이트 또는 서비스를 테스트해서는 안 됩니다.
  • Proton 데이터를 삭제, 변경, 공유, 보존 또는 파기하거나, Proton 데이터에 접근할 수 없게 만들어서는 안 됩니다.
  • 익스플로잇을 사용하여 데이터를 유출하거나, 명령줄 접근 권한을 설정하거나, Proton 시스템에 지속적인 존재를 구축하거나, 다른 Proton 시스템으로 '피벗'해서는 안 됩니다.

보안 연구원은 다음을 할 수 있습니다.

  • 잠재적인 취약점의 존재를 문서화하는 데 필요한 범위 내에서만 Proton의 비공개 데이터를 보거나 저장할 수 있습니다.

보안 연구원은 다음을 준수해야 합니다.

  • 취약점을 발견하는 즉시 테스트를 중단하고 저희에게 알려야 합니다.
  • 비공개 데이터 노출을 발견하는 즉시 테스트를 중단하고 저희에게 알려야 합니다.
  • 취약점을 보고한 후에는 저장된 모든 비공개 데이터를 삭제해야 합니다.

범위

다음 시스템 및 서비스가 범위에 포함됩니다.

Proton

  • 저희 웹사이트, proton.me
  • account.proton.me 웹 앱

Proton Calendar

  • calendar.proton.me 웹 앱
  • Proton Calendar 앱 (Android 및 iOS/iPad)

Proton Drive

  • drive.proton.me 웹 앱
  • Proton Drive 앱 (Android, iOS/iPad [베타] 및 Windows)

Proton Docs

  • docs.proton.me 웹 앱

Proton Mail

  • mail.proton.me 웹 앱
  • api.protonmail.ch 웹 앱
  • Proton Mail 모바일 앱(Android 및 iOS/iPad)
  • Proton Bridge 앱(GNU/Linux, macOS, Windows)
  • Proton Scribe

Proton Pass

  • pass.proton.me 웹 앱
  • Proton Pass 모바일 앱(Android, iOS/iPad)
  • Proton Pass 데스크톱 앱(Linux, macOS, Windows)
  • Proton Pass 웹 확장 프로그램(Chrome 및 Firefox)

Proton Authenticator

  • Proton Authenticator 모바일 앱(Android, iOS/iPad)
  • Proton Authenticator 데스크톱 앱(Linux, macOS, Windows)

Proton VPN

  • VPN 웹사이트, protonvpn.com
  • account.protonvpn.com 웹 앱
  • api.protonvpn.ch 웹 앱
  • Proton VPN 앱(Android, iOS/iPad, Linux, macOS, Windows)
  • Proton VPN 웹 확장 프로그램(Android TV, Apple TV, Chrome, Chromebook, Firefox)

Proton Wallet

  • wallet.proton.me 웹 앱
  • Proton Wallet 앱(Android, iOS)

Lumo by Proton

  • lumo.proton.me 웹 앱
  • Proton Lumo 앱(Android, iOS)

SimpleLogin

  • simplelogin.io 웹사이트
  • app.simplelogin.io 웹 앱
  • SimpleLogin 모바일 앱(Android 및 iOS)
  • SimpleLogin 브라우저 확장 프로그램(Chrome, Edge, Firefox, Safari)

Standard Notes

  • standardnotes.com 웹사이트
  • app.standardnotes.com 웹 앱
  • Standard Notes 앱(Android, iOS/iPad, Linux, macOS, Windows)

위에 명시적으로 나열되지 않은 모든 서비스는 이 정책의 범위에서 제외됩니다. 명확성을 위해 다음을 포함하되 이에 국한되지는 않습니다.

  • 스팸함
  • 사회 공학적 기법
  • 서비스 거부 공격
  • 콘텐츠 주입은 Proton 또는 사용자에게 중대한 위험을 명확하게 입증할 수 없는 한 범위에서 제외됩니다.
  • 샌드박스 도메인에서 스크립트 실행
  • 최신 OS 버전 또는 지난 2년 이내에 출시된 모바일 기기에서 재현할 수 없는 모바일 앱 충돌 보고서
  • Proton의 미션 범위를 벗어나는 보안 문제
  • 극히 드문 사용자 상호 작용이 필요한 버그
  • WordPress 버그(WordPress에 보고해 주세요)
  • shop.proton.me의 버그(Shopify에 보고해 주세요)
  • proton.me/support/contact, protonmail.zendesk.com, support.protonmail.com, help.protonmail.com의 버그(Zendesk에 보고해 주세요)
  • status.proton.me의 버그(Atlassian에 보고해 주세요)
  • 기기에 대한 물리적 접근이 필요한 개념 증명
  • 오래된 소프트웨어 — 다양한 이유로 항상 최신 소프트웨어 버전을 실행하지는 않지만, 완전히 패치된 소프트웨어는 실행합니다.
  • 오래된 브라우저에 영향을 미치는 결함
  • partners.proton.me의 버그(TUNE에 보고해 주세요)
  • localize.proton.me의 버그(Discourse에 보고해 주세요)

취약점 보고

보고서는 security@proton.me 이메일을 통해 접수됩니다. 허용되는 메시지 형식은 일반 텍스트, 서식 있는 텍스트, HTML입니다. 취약점을 제출할 때 PGP 공개 키를 사용하여 제출물을 암호화할 것을 권장합니다.

  • 취약점 악용을 시연하는 개념 증명 코드가 포함된 보고서를 선호합니다.
  • 보고서에는 취약성을 식별하거나 악용하는 데 필요한 도구에 대한 설명을 포함하여 취약성을 재현하는 데 필요한 단계에 대한 자세한 기술적 설명이 포함되어야 합니다.
  • 이미지(예: 화면 캡처) 및 기타 문서를 보고서에 첨부할 수 있습니다. 첨부 파일에 설명적인 이름을 지정하면 도움이 됩니다.
  • 스크립트나 익스플로잇 코드는 실행 불가능한 파일 유형에 포함하도록 요청합니다.
  • zip, 7zip, gzip을 포함한 모든 일반적인 파일 유형 및 아카이브를 처리할 수 있습니다.

연구원은 익명으로 보고서를 제출하거나 Proton 보안팀이 연락해야 하는 방법과 시기를 포함한 연락처 정보를 제공할 수 있습니다. 제출된 보고서의 내용을 명확히 하거나 기타 기술 정보를 수집하기 위해 연구원에게 연락할 수 있습니다.

Proton에 보고서를 제출함으로써 귀하는 보고서 및 모든 첨부 파일이 제3자의 지적 재산권을 침해하지 않음을 확인합니다. 또한 귀하는 Proton에 보고서 및 모든 첨부 파일을 사용, 복제, 파생 저작물 생성 및 게시할 수 있는 비독점적, 로열티 프리, 전 세계적, 영구적 라이선스를 부여합니다.


공개

Proton은 취약점을 시기적절하게 수정하기 위해 최선을 다하고 있습니다. 커뮤니티를 위험에 빠뜨리는 모든 문제를 해결하기 위해 부지런히 노력할 것입니다. 쉽게 이용할 수 있는 시정 조치가 없는 상태에서 취약점을 공개하면 커뮤니티의 보안 위험이 감소하기보다는 증가할 가능성이 높으므로, 제출하신 보고서를 검토하는 동안 모든 연구원들께서 양해해 주시기 바랍니다.

따라서 귀하는 보고서 접수 확인을 받은 후 120일 동안 발견된 취약점에 대한 정보 공유를 삼가해야 합니다. 시정 조치를 구현하기 전에 다른 사람에게 취약점을 알려야 한다고 생각되면 Proton 보안팀과 사전에 협의해야 합니다.

영향을 받는 공급업체와 취약점 보고서를 공유할 수 있습니다. 명시적인 허가 없이는 보안 연구원의 이름이나 연락처 데이터를 공유하지 않습니다.


궁금한 점이 있으신가요?

이 정책에 관한 질문은 security@proton.me으로 보내주십시오. Proton은 보안 연구원들이 이 정책의 모든 요소에 대한 설명을 위해 당사에 문의하는 것을 권장합니다.

특정 테스트 방법이 이 정책과 일치하지 않거나 이 정책에서 다루지 않는지 확실하지 않은 경우 테스트를 시작하기 전에 문의해 주세요. 또한 보안 연구원들이 이 정책 개선을 위한 제안을 위해 당사에 연락하는 것을 환영합니다.


이 콘텐츠의 영어 버전과 번역본 간에 불일치가 있을 경우 영어 버전이 우선합니다.