국내에 보안 정보 공유 공간이 있나요?

국내에 ISP, IDC, 보안업체 간에 보안 취약점 정보를 안전하게 공유하는 공간이 있는지 궁금합니다.

해외의 경우 Bugtraq, full-disclosure 등의 보안 관련 메일링 리스트가 있습니다.
취약점 발견자는 보안 메일링 리스트에 정보를 발표하기 위한 사전 단계로 CERT의 중재를 통해 제품 벤더와 안전하게 취약점 정보를 교환하는 것으로 알고 있습니다. 이 과정에서 CVE(http://cve.mitre.org/) 관련 작업도 이루어지고 있고요.

일본의 경우 bugtraq-jp 가 있고, 취약성 신고 제도(http://j2k.naver.com/j2k_frame.php/korean/pcweb.mycom.co.jp/news/2004/10/18/002.html)라는 법률 아래 JVN(http://j2k.naver.com/j2k_frame.php/korean/jvn.jp/nav/jvn.html)을 설립하여 취약점 발견자와 벤더가 안전하게 취약점 정보를 교환하는 것으로 알고 있습니다.

그러나 국내의 경우 취약점 관련 정보를 모으고 중재해주는 기관이 없는 관계로 (한국 CERT의 경우 해당 업무는 자신들의 업무 범위를 벗어난다고 보고 있다는 응답을 2003년에 받았습니다), 취약점 발견자가 직접 벤더와 컨택하여 문제를 해결해나가고 있습니다.

이 과정에서 메일, 게시판, 버그트래커 등이 활용되는데, 정보를 공유하는 과정(주로 게시판, 버그트래커를 사용하는 경우)에서 국내외 크래킹 그룹에 정보가 노출되어, 오히려 국내 시스템에 대한 0day Attack(제로데이 공격이란 보안 취약점이 발표되는 것과 거의 동시에 공격 코드가 발표돼 취약점을 보완할 시간이 없는 상태에서 이뤄지는 공격을 말합니다. http://kisia.or.kr/korean/news2.php?skin=kisia&scene=read&position=15&sn=747&page=2)에 사용될 위험이 높습니다.

또한 부득이하게 취약점 정보를 bugtraq 을 통해 영문으로 공개할 수 밖에 없는 관계로, 보안 권고문을 적시에 받아봐야할 보안 관리자, 서버/네트워크 관리자들이 발표된 정보를 이용해 보안을 강화하지 못하는 경우가 많습니다.

이런 상황에서 bugtraq 을 통해 공개된 정보를 해외 크래킹 그룹이 분석하여, 국내 시스템에 대한 공격에 사용하는 경우도 발생하고 있습니다(예를 들면 zone-h.org 에 최근 올라온 홈페이지 변조 사고를 보면 최근 공개된 technote 취약점을 이용한 홈페이지 변조가 국내에 빈발하고 있습니다. 벤더 홈페이지에 technote 취약점에 대한 조치법이 올라와 있으나 이를 모르고 있는 사용자가 꽤 되는 것으로 보입니다).

국내에 보안 권고문을 한글로 정리해놓은 메일링 리스트가 있다면, 보안 담당자나 서버/네트워크 관리자는 해당 메일링 리스트만 모니터링 하더라도 최신 취약점들에 대한 정보를 신속하게 얻을 수 있을 것입니다.

보안 권고문 발표자 입장에서도 굳이 여러 채널을 통해 보안 권고문을 알리고자 노력할 필요가 없고, 영문으로 bugtraq에 발표할 필요도 없어 발표에 소요되는 시간이 줄어들 것입니다.

위와 같은 측면을 고려해서 보안 취약점 정보를 안전하게 공유할 수 있는 중앙 집중적인 중재 기관, 정보 공유 공간이 존재하는지 알고 싶습니다.

현재 저는 국내에서 많이 사용되고 있는 Zeroboard 에 대한 알려지지 않은 취약점을 3가지 정도 발표할 예정입니다. 그러나 bugtraq에 공개하는 경우 파급 효과가 대단하기 때문에, 국내 사이트에 대한 0day attack이 일어나지 않도록 국내 ISP, IDC 업체에 먼저 알리고, 취약점이 패치된 상태에서 이를 알리고 싶습니다.

Zeroboard 개발자에게는 취약점 정보를 알렸으나, 응답이 오지 않고 있고, 현재 개발도 이루어지지 않고 있는 것으로 보입니다.