yozm.tech
피드로 돌아가기
Show HNHOTAI 재작성

Caido 플러그인: 취약점 신고처를 자동으로 찾아줍니다

보안 연구원과 개발자를 위한 웹 보안 도구 Caido(카이도)에 'Disclosure Lookup' 플러그인이 출시되었습니다. 이 플러그인은 웹사이트의 취약점 신고 연락처를 자동으로 찾아주어, 보안 연구원들이 번거로운 수작업 없이 신속하게 취약점을 보고할 수 있도록 돕습니다. lookup.disclose.io의 무료 API를 활용해 보안 담당자 정보를 제공하며, 보안 커뮤니티의 효율성을 높일 것으로 기대됩니다.

6시간 전·2026.07.07·읽기 2·caseyjohnellis

웹 보안 전문가를 위한 프록시 도구인 Caido(카이도)에 새로운 플러그인 'Disclosure Lookup'이 등장했습니다. 이 플러그인은 보안 연구원들이 웹사이트에서 취약점을 발견했을 때, 해당 취약점을 어디에 보고해야 하는지 자동으로 찾아주는 기능을 제공합니다. 기존에는 수동으로 정보를 검색해야 했던 번거로움을 크게 줄여주어, 취약점 신고 과정을 효율화할 수 있게 되었습니다.

'Disclosure Lookup' 플러그인은 사용자가 Caido 내에서 요청(request)을 마우스 오른쪽 버튼으로 클릭하거나 HTTP 기록에서 항목을 선택한 후 'Find disclosure contact' 메뉴를 선택하면 작동합니다. 그러면 lookup.disclose.io의 무료 API를 통해 해당 호스트의 소유 조직, 관할권, 그리고 보안.txt(security.txt), 버그 바운티 프로그램, VDP(취약점 공개 프로그램) 이메일, PSIRT(제품 보안 사고 대응팀) 디렉터리, 국가 CERT(침해사고대응팀) 등 우선순위가 지정된 신고처 목록을 보여줍니다. 각 연락처는 '확인됨(verified)' 또는 '미확인(unverified)'으로 표시되어 신뢰도를 파악할 수 있습니다. 이 플러그인은 Caido의 샌드박스 자바스크립트 런타임에서 백엔드 호출을 처리하여 UI 프로세스에 영향을 주지 않는 아키텍처를 가지고 있습니다.

이 플러그인의 출시는 보안 연구원들이 취약점을 발견한 후 보고하는 데 드는 시간과 노력을 크게 절감할 수 있게 해줍니다. 특히, 보안.txt 파일이나 복잡한 웹사이트 구조 속에서 연락처를 찾는 데 어려움을 겪었던 연구원들에게 유용할 것입니다. 또한, lookup.disclose.io의 개방적이고 무료인 API를 활용함으로써, 보안 커뮤니티 전체가 더욱 투명하고 효율적인 취약점 공개 프로세스를 구축하는 데 기여할 것으로 보입니다. 이는 궁극적으로 기업의 보안 강화와 사용자 보호에 긍정적인 영향을 미칠 것입니다.

1인 창업자를 위한 기회 분석
AI 분석 · 참고용이며 검증이 필요합니다
4/10
보통
4점인가

기존에 공개된 API를 활용하는 플러그인으로, 새로운 시장을 창출하기보다는 기존 문제 해결에 기여합니다. 국내 시장에 특화된 데이터 구축이 필요합니다.

문제 / 미충족 수요

보안 연구원이 웹사이트의 취약점 신고처를 찾는 과정이 번거롭고 시간이 많이 소요됩니다.

한국 시장
국내 미진출 — 기회한국은 보안.txt 도입이 아직 활발하지 않아, 국내 기업에 특화된 정보 수집 및 제공 서비스에 대한 수요가 있을 수 있습니다.
수익 모델

B2B SaaS 구독 (보안 솔루션 연동) · 돈 내는 주체: 보안 컨설팅 회사, 기업 보안팀, 독립 보안 연구원

1인 실현 가능성
3/5

데이터 수집 및 유지보수가 필요하지만, 핵심 로직은 기존 API를 활용할 수 있어 1인 개발도 가능합니다.

진입 지점 (Wedge)

특정 산업군(예: 금융, 게임)에 특화된 국내 기업의 취약점 신고처 데이터베이스 구축 및 API 제공

이번 주 첫 실험

국내 주요 웹사이트 100곳의 보안.txt 파일 및 공개된 취약점 신고 채널(버그 바운티, 이메일)을 수집하여 데이터베이스 초안을 만듭니다.

Original source
이 글은 Show HN의 기사를 yozm.tech가 한국어로 재작성한 버전입니다.
원문 보기