버그 바운티는 보안 전문가와 기업이 협력하여 취약점을 발견하고 해결하는 데 기여하는 중요한 방식으로 자리 잡았습니다. 저는 2018년 네이버 버그 바운티에서 첫 XSS 취약점을 발견하며 버그 바운티의 세계에 발을 내디뎠습니다. 취약점 하나를 발견하기까지 수많은 시도와 실패를 거쳤고, 그 과정에서 배운 것들이 지금까지 이어져 오고 있습니다. 이후 국내 주요 버그 바운티 대회인 Hack The Challenge와 화이트햇투게더에 참가하여 좋은 성과를 거두고, 다양한 플랫폼에서 의미 있는 취약점들을 발견하며 성장해 왔습니다. 웹 서비스 취약점을 중심으로 제가 겪은 시행착오와 실제 경험을 바탕으로 한 구체적인 사례들을 공유합니다. 특히 취약점 분석 시 놓치기 쉬운 부분들과 리포트 작성에서의 핵심 포인트를 다룹니다. 처음 버그 바운티를 시작할 때는 단순히 취약점만 찾아 제보했지만, 평가자와의 커뮤니케이션 과정을 통해 실제 공격 시나리오와 비즈니스 임팩트를 함께 고려하는 것의 중요성을 배웠습니다. 또한 버그 바운티 스터디를 운영하며 함께 배우고 성장했던 경험도 나눕니다. 스터디를 통해 많은 분들이 '어디서부터 시작해야 할지 모르겠다'는 공통된 어려움을 겪는다는 것을 알게 되었습니다. 이러한 어려움을 함께 해결해 나갔던 경험을 바탕으로, 타깃 선정부터 분석 방법, 리포트 작성까지 사례들을 공유합니다. 이 발표를 통해 버그 바운티에 관심 있는 분들께 도전을 위한 작은 도움이 되고, 프로그램 참가에 대한 용기를 얻는 계기가 되기를 희망합니다.