버그 바운티
버그 바운티(bug bounty)는 기업의 서비스 및 제품을 해킹하여 취약점을 찾은 해커에게 포상금을 주는 제도이다. 구글(Google), 애플(Apple), 마이크로소프트(Microsoft), 페이스북(Facebook) 등 글로벌 기업 대부분이 버그 바운티 프로그램을 시행하고 있다. 대한민국에서는 2012년부터 한국인터넷진흥원(KISA)이 도입하여 취약점 신고포상제라는 명칭으로 시행되고 있다.
목차
개요[편집]
버그 바운티는 특정 기업에서 제공하는 서비스와 제품을 해킹해서 취약점을 발견한 해커에게 포상금을 지급하는 제도이다. 취약점 수집 방식으로서의 버그 바운티는 그 효과를 인정받아 각국에서 활용되고 있으며 특히, 미국에서는 버그 바운티에 대한 활용뿐만 아니라 연구도 활발하게 진행되고 이에 대한 법제화도 시도되고 있는 상황이다. 구글, 애플, 페이스북 등 많은 기업이 버그 바운티 프로그램을 활용하고 있다. 하지만, 버그 바운티를 운영하고 있는 기업이라고 해서 무턱대고 공격을 수행하는 것은 아니다. 일반적으로는 해커와 기업을 연결하는 전문 업체인 해커원 등을 이용하고 있으며, 자체 플랫폼을 이용하는 경우도 있다.[1] 기업이 보안을 강화하기 위해 택할 수 있는 전략은 다양하다. 그중 하나인 버그 바운티는 외부 공격자 관점에서 보안 진단을 하는데 탁월하고, 비용 대비 효과적이며, 위협을 상시 관리할 수 있다는 장점이 있다. 그러나 기업이 자체적으로 버그 바운티를 운영하기 위해서는 취약점 제보에 대응(분석, 평가, 보상 등) 가능한 전문 인력, 제보자와의 원활한 소통, 합리적이고 안전한 참여 정책 설정에 있어 많은 공수와 시행착오가 필요하다.[2]
개념[편집]
취약점에 대한 조치의 필요성이 급증함에 따라 시장에서 만들어진 취약점 수집 방식의 일환으로 적용 범위, 적용 방식 등이 점차 넓어지고 다양해졌기에 버그 바운티 방식의 프로그램에 대한 개념이나 명칭이 명확하지 않은 상황이다. 버그 바운티의 개념은 프로그램의 적용 범위나 적용 방식을 특정할 수 있다는 점에서 명확성이 요구된다. 각종 연구들에서는 버그 바운티에 대하여 세 가지 개념을 세우고 있다.
- 관리자가 제보 받은 버그들에 대하여 금전적 보상을 제공하는 가장 단순하고 가장 오래된 형태의 취약점 마켓 (2005)
- 독립적인 보안 연구원들, 모의해킹 참여자, 그리고 화이트해커들이 활용 가능한 소프트웨어의 취약점을 발견하고 이러한 취약점에 대한 지식을 개별 버그 바운티 프로그램의 관리자와 공유하는 것에 대해 보상하는 것 (2014)
- 모든 해커들이 보상금을 얻을 수 있는 기회에 참여할 수 있도록 공개되어 있는 프로그램 (2017)
공통적으로 확인할 수 있는 것은 버그 바운티를 ‘버그 바운티 대상에서 취약점을 발견한 자가 발견한 취약점을 버그 바운티 프로그램 관리자에게 보고하고, 취약점 보고자에게 버그 바운티 운영 주체가 이에 대한 금전적 보상을 하는 것’으로 보고 있다는 것이다. 하지만 이 외에는 버그 바운티 대상의 범위나 버그 바운티 참여자에 대한 범위, 그리고 버그 바운티 운영방식에 대해 각기 차이를 보이고 있다. 따라서 현존하는 연구들이나 자료들에 언급되어 있는 버그 바운티의 개념들은 현실의 버그 바운티를 모두 포괄할 수 없을 뿐만 아니라, 버그 바운티를 활용하는 대상과 업종이 늘어남에 따라 변화되고 있는 버그 바운티의 운영 방식들을 모두 포괄할 수 있는 개념이라고 보기 어렵다. 따라서 앞으로 존재할 버그 바운티들을 모두 포괄할 수 있는 개념을 규정하는 것이 필요하다. 이러한 상황에서 다양한 변화가능성을 지닌 앞으로의 버그 바운티들을 포괄할 수 있는 개념으로 사용가능한 개념을 언급하고 있는 자료가 미국 하원에서 제출되었다. 해당 법안은 파일럿 버그 바운티 프로그램에 대한 요건들과 함께 버그 바운티에 대한 개념을 ‘허가 받은 개인, 조직 혹은 회사가 보상을 대가로 하여 미 국무부의 인터넷 대면 정보 기술의 취약점을 확인하고 보고할 수 있도록 임시로 권한을 부여하는 프로그램’으로 정의한다. 이러한 개념은 버그 바운티의 참여자를 화이트해커 혹은 해커라고 한정하지 않고, 회사나 기관의 영역까지 범위를 넓히고 있어 운용되고 있는 다양한 종류의 버그 바운티가 포함될 수 있어 버그 바운티에 대한 개념으로 적절하게 사용될 수 있다. 또한 해당 개념은 버그 바운티의 참여자를 허가 받은 자로 한정하고 해당 참여자의 행위를 일시적이라고 명시하여 버그 바운티라는 명목으로 일어날 수 있는 정보 시스템 침입 문제에 대해 고려하고 있다. 이는 이전의 연구들이나 자료에서 언급하고 있지 않은 것으로 이를 통해 정보 시스템에 대한 무단 침입이나 지속적 침입이라는 문제없이 버그 바운티가 운영될 수 있도록 하는 요건을 개념에 명시하여 확실히 하였다는 점에서 의의가 있다. 다만, 버그 바운티의 대상을 인터넷 대면 정보 기술로 명시하고 있어 소프트웨어나 하드웨어와 관련된 기술을 버그 바운티 대상으로 포괄할 수 없다는 점과 버그 바운티 주체가 미 국무부로 한정되어 있다는 점이 해당 개념이 가진 문제이다. 그러므로 인터넷 대면 정보 기술을 정보 기술로 변경하여 소프트웨어나 웹 서비스, 하드웨어 등과 같은 다양한 버그 바운티의 대상들을 모두 포괄할 수 있도록 하고, 버그 바운티 주체를 미 국무부가 아닌 버그 바운티 주체로 변경한다면 해당 개념을 문제없이 전반적인 버그 바운티를 포괄할 수 있는 개념으로 사용할 수 있을 것이다. 따라서 이에 의하면 버그 바운티는 ‘허가 받은 개인, 조직 혹은 회사가 보상을 대가로 하여 버그 바운티 주체의 정보 기술의 취약점을 확인하고 보고할 수 있도록 임시로 권한을 부여하는 프로그램’이라고 규정할 수 있다.[3]
역사[편집]
1995년, 넷스케이프(Netscape)가 21년 전, 첫 버그 바운티를 런칭한 이후, 취약점을 다루는 기업들의 자세는 크게 변했다. 넷스케이프의 기술 지원 엔지니어였던 자렛 리들롱가퍼(Jarrett Ridlonghafer)가 역사에서 처음으로 기록될 버그 바운티 프로그램을 기획하고 실제 런칭했다. 넷스케이프에서 출시한 내비게이터 2.0의 베타 버전에서 취약점을 찾고자 함이었다. 취약점을 찾아낸 해커들에게 현금을 수여했다. 이는 정보보안 업계에 있어서는 중요한 업적이었다. 하지만 당시에는 이것이 그다지 큰 이슈가 되지 않았다. 그 후로 7년이 지날 때까지 비슷한 시도가 한 번도 이루어지지 않았다. 그리고 2002년, 아이디펜스(IDfense)라는 업체가 버그 바운티를 실시했고, 2004년에 모질라(Mozilla)가 버그 바운티 프로그램을 신설했다. 이 세 가지 버그 바운티 프로그램이 지금의 버그 바운티를 있게 한 주요 사건이라고 볼 수 있다. 이후, 2010년과 2011년, 이미 온라인 거인이 되어버린 구글(Google)과 페이스북(Facebook)이 보안 점검을 위해 대중들을 개입시킬 수도 있다는 사실에 눈을 떴고, 버그 바운티 모델들을 조심스럽게 도입하기 시작했다. 구글과 페이스북의 도입으로 주목을 받기 시작한 것이다. 넷스케이프가 도입했을 땐 큰 관심을 얻지 못했던 것이 이 두 회사의 참여로 이목이 집중된 것이다. 2011년 3월, 페이스북은 22살 전문가에게 1만 5천 달러를 지급한 것을 시작으로 2017년까지 총 4백 3십만 달러의 상금을 보안 전문가들에게 지급했다. 그러나 그때까지도 버그 바운티가 보편적으로 인기 있는 프로그램으로 자리 잡았다고 보기는 어려웠다. 하는 사람만 하고 아는 사람만 아는 것일 뿐 대부분 기업들은 너무 위험부담이 크다고 본 것이다. 얼굴도 이름도 모르는 누군가에게 소스코드를 건네준다는 식으로 버그 바운티를 이해했기 때문이다. 하지만 실제 버그 바운티를 운영해보면 이런 상상과는 거리가 멀다. 대체로 짜임새가 탄탄하고 안전장치가 충분히 마련돼 있기 때문이다. 참가자들에게 제공해줄 것과 주지 않을 것을 기획자가 당연히 정하는 거고, 그들이 침범할 수 있는 영역 또한 프로그램 운영자가 결정해 통보할 수 있다. 게다가 사이버 범죄를 일으키는 실제 해커들은 소스코드나 원본 자료를 가지고 시작하지 않기 때문에, 이를 요청하는 경우도 거의 없다. 버그 바운티 기획 및 진행이 점점 발전해가면서, 혹은 버그 바운티에 대한 수요가 늘어나면서 버그 바운티 서비스를 대행해주는 플랫폼도 등장했다. 이는 버그 바운티가 큰 위험성을 지니고 있다는 의구심과 기존 불안감을 어느 정도 해소시키는 데 일조하기도 했고, 기술 관련 산업에 종사하는 기업들만의 전유물처럼 여겨졌던 버그 바운티가 의료, 금융, 자동차 등의 다른 산업으로도 산파하는 데 공헌했다. 이런 대행 서비스 및 플랫폼들은 주로 버그 바운티에 참여하고 싶어 하는 업체와 버그 바운티 일거리를 찾는 전문가 및 커뮤니티를 연결시켜주는 역할을 수행했다. 즉, 버그 바운티 진행 후 약속된 보상이 제대로 이뤄지지 않는 것을 막고, 동시에 동기나 자질이 의심스러운 보안 전문가의 참여를 막는, 중개자 역할을 제대로 하는 것이 버그 바운티 플랫폼의 역할로 굳어졌다. 이런 플랫폼들은 자연스럽게 보안 전문가들의 커뮤니티로 굳어지기도 했다.[4]
종류[편집]
버그 바운티가 실제로 운영되는 방식은 크게 두 가지의 기준으로 구분하여 분류할 수 있다. 이러한 기준은 버그 바운티에 참여하는 주체와 깊은 연관성이 있다. 버그 바운티에 참여하는 주체는 해당 프로그램에 대한 목적과 대상을 설정하는 운영주체(bug bounty leader), 버그 바운티에 참여하는 개인, 조직 혹은 회사 등을 포함한 참여자, 그리고 버그 바운티 운영에 도움을 주는 플랫폼이 존재한다. 버그 바운티 플랫폼 이란 취약점을 발견한 버그 바운티 참여자들이 발견한 취약점을 보고하고, 버그 바운티 운영주체가 보고 받은 취약점에 대해 평가한 이후에 결정된 포상금을 참여자에게 전달할 수 있는 창구의 역할을 의미한다. 즉, 플랫폼은 버그 바운티 운영주체와 버그 바운티 참여자를 연결하는 통로의 역할을 담당한다고 볼 수 있다. 이러한 주체들 중 버그 바운티 플랫폼의 종류와 참여자의 범위에 따라 버그 바운티의 운영 방식이나뉜다.[3]
플랫폼에 따른 분류[편집]
버그 바운티를 실행하기로 한 뒤, 버그 바운티 운영주체는 버그 바운티에 대한 설계를 진행하게 되는데 이 때, 어떤 플랫폼을 사용할 것인지에 대해서도 결정하게 된다. 운영주체가 선택할 수 있는 플랫폼에는 버그 바운티 프로그램을 진행하는 회사가 직접 전면에 나서는 자가 소유 플랫폼과 버그 바운티 프로그램을 위하여 제 3자가 만들어놓은 플랫폼인 별도 플랫폼이 있다.[3]
플랫폼에 따른 버그 바운티의 종류 종류 정의 자가 소유 플랫폼 사용 버그 바운티
(self-owned bounty program)버그 바운티 프로그램을 통해 취약점을 파악하고 이를
개선하려는 주체가 직접 버그 바운티 프로그램을 운영
하는 플랫폼을 가지고 있는 것별도 플랫폼 사용
버그 바운티
(bug bounty of
third-party owned
platform)원사이드 버그
바운티 플랫폼(one-sided bug
bounty platform)보상금의 자본이 플랫폼으로부터 비롯된 것으로, 버그
바운티 운영주체와 참여자는 각각 플랫폼과의 관계만
가지고 있을 뿐인 버그 바운티투사이드 버그
바운티 플랫폼(two-sided bug
bounty platform)보상금으로 주어지는 자본이 버그 바운티 운영주체에서
비롯되어, 플랫폼은 버그 바운티 운영주체와 참여자 사
이의 중개기관으로서의 역할만을 가지는 버그 바운티
버그 크라우드[편집]
버그크라우드(Bugcrowd)는 미국 샌프란시스코에 위치한 기업으로 유명 벤처캐피탈의 투자를 유치한 크라우드 소싱 기반 보안 플랫폼 기업이다. 보안 전문가들을 모으고 이들의 전문 지식과 역량을 바탕으로 버그와 보안 취약점을 찾고, 이를 하는 데 드는 시간과 노력에 정당한 대가를 지불하는 것이 사업 모델이다. 주로 웹 사이트 테스팅에 한정되어 있다. 2021년 기준으로, 향후 파이어아이 보안 제품과 서비스 부문까지 바운티 프로그램 적용 대상을 확대할 계획이라고 한다.[5]
파인더갭[편집]
파인더갭은 최초에 삼성SDS㈜에서 해킹존(Hackingzone)이라는 이름으로 설립했던 국내 버그 바운티 플랫폼이다. 2022년 6월 스핀오프를 통해 독립된 법인으로 분사하였다. 파인더갭은 웹, 앱, 사물인터넷(IoT), 클라이언트 등 다양한 기업 제품을 대상으로 하지만, 그 중 관련된 버그 바운티 프로그램이 압도적으로 많은 비중을 차지한다. 삼성에서 주관했던 플랫폼이기 때문에 삼성 제품이나 삼성 서비스 사이트가 대상으로 많은 프로그램이 오픈한 이력이 있다. [6] 그리고 포상금은 상대적으로 평균치보다 많은 편이다. 그리고 아직 서비스를 운영하기 전인 사이트들에 대해서는 VDI를 이용해 제보자가 원격으로 해당 사이트에 접속할 수 있는 PC에 접속하여 해당 PC 내에서 버그 바운티를 진행할 수 있는 시스템이 갖추어져 있다.[7]
참여자 범위에 따른 분류[편집]
버그 바운티는 필연적으로 운영주체의 관계자가 아닌 외부의 참여자들이 버그 바운티의 대상인 소프트웨어나 웹 서비스 등에 내재된 취약점을 알게 된다. 그러므로 외부 참여자들에 대해 별다른 제재나 요건이 없다면 이렇게 알게 된 취약점의 활용여부는 온전히 외부 참여자의 의사에 맡겨져 있어, 정보 시스템의 안전과 안정을 위해 도입한 버그 바운티가 오히려 정보 시스템의 안전과 안정을 해하는 결과를 낳을 수도 있다. 특히, 정보 시스템의 안전과 안정이 매우 중요한 정부 기관 등의 경우에는 이러한 점 때문에 함부로 공개적인 버그 바운티를 적용할 수 없다. 이러한 문제를 해결할 수 있는 방법이 바로 버그 바운티 참여자의 범위에 일정한 제한을 가하는 것이다.[3]
참여자 범위에 따른 버그 바운티 종류 종류 정의 공개 버그 바운티
(public bug bounty program)가장 일반적이며, 기본적인 버그 바운티 프로그램으로, 다수의 특정되지 않은 보안 전문가들에게 취약점 보고의 기회가 부여된 버그 바운티 제한적 버그 바운티
(private bugbounty program)버그 바운티에 참여하기 전에 이에 참여하려는 사람들에게 일정한 인증과 조사 과정을 거쳐 신뢰성을 검증받은 참여자들만 참여할 수 있도록 하는 버그 바운티
특징[편집]
기반[편집]
크라우드 소싱[편집]
크라우드 소싱이란 기존에 직원이나 계약자가 맡아서 수행하던 일을 불특정 다수의 집단에 공개모집의 형식으로 외부 발주하는 것을 의미하며, 이에 따라 한 때 소수 전문가의 소관이었던 일들을 대중의 능력으로 수행할 수 있도록 하는 것이다. 이는 일정한 분야만의 전문가인 계약자가 아니라 다양한 경험과 지식을 가진 사람들인 불특정 다수 집단들의 경험과 지식을 바탕으로 과제에 접근하여, 일정한 분야의 전문가만이 참여하는 인 소싱이나 아웃소싱보다 더 나은 성과를 얻어낼 수 있는 가능성을 만들어 낸다. 또한 동일한 비용으로 다른 인력 도입 방식들보다 더 많은 결과를 도출할 수 있어 그 중에서 더 나은 결과를 선택할 수 있도록 한다는 점에서 효율적이다. 이러한 장점을 기반으로 크라우드 소싱은 미국을 중심으로 성장하기 시작하였으며, 민간 분야뿐만 아니라 공공분야에 이르기까지 다양한 분야에서 여러 활용 사례들을 탄생시키며 문제를 해결하는 새로운 솔루션으로 자리 잡아가고 있다. 이러한 크라우드 소싱이 정보 시스템의 내재된 취약점을 찾는 데 활용된 것이 버그 바운티이다. 기본적으로 버그 바운티는 참여자의 범위가 고정되어 있지 않기에 버그 바운티에 참여하려는 의사를 가진 사람이라면 누구든지 버그 바운티 프로그램에 참여할 수 있다. 그러므로 버그 바운티는 버그 바운티 운영 주체가 제시한 하나의 특정된 정보 시스템에 대해 불특정 다수의 사람들이 취약점을 발견한다는 동일한 목표를 위해 움직일 수 있게 된다는 점에서 크라우드소싱 방식에 해당한다. 이러한 버그 바운티의 도입은 다양한 경험과 전공을 가진 사람들이 특정된 정보 시스템에 대해 접근할 수 있게 하여, 버그 바운티 운영 주체가 현실적으로 모든 분야의 전문가를 정보 시스템의 관리자로 고용하지 못하는 상황을 타개할 수 있게 하였다. 그러므로 이로 인해 미처 정보 시스템의 개발자나 관리자들이 발견하지 못한 취약점들을 발견할 가능성이 더 높아지게 되었다. 이는 동일한 시기 동안에 진행된 취약점 자체 발굴보다 버그 바운티로 인해 발견된 취약점이 약 1.5배에서 3배 이상 더 많다는 사실에서 확인할 수 있다. 더 나아가 취약점을 발견하는 속도도 매우 빨라 77%의 버그 바운티 프로그램에서 가장 처음 취약점 발견 보고가 들어오는 시간이 버그 바운티 프로그램 시작 24시간 이내라는 점을 통해 확인할 수 있다. 이러한 빠르고 다양한 취약점의 발견은 정보 시스템에 대한 발 빠른 대처를 가능하게 하며, 평균적으로 31일 이내에 취약점에 대한 해결이 가능하다는 점에 있어서 안전하고 안정된 정보 시스템의 유지와 이를 바탕으로 하는 서비스가 가능하게 할 수 있다는 것을 확인할 수 있다.[3]
시장[편집]
시장의 생성 및 운영은 위로부터의 명령이나 지시 없이 합리적이고 자유로운 시장 주체들이 이익 추구라는 목적을 추구하는 과정에서 자연스럽게 이루어지는 결과적 상황이다. 미래에 대한 예측을 위한 기반 자료로서, 정보는 형태가 없음에도 불구하고 하나의 재화가 되어 이에 대한 시장이 만들어졌으며, 취약점도 정보의 일종으로 이를 거래하는 시장인 취약점 마켓이 만들어졌다. 이러한 시장은 컴퓨터를 기반으로 하는 정보 시스템이 사회의 기반 시설로 갖추어지면서 사회 내의 많은 행위, 특히 경제활동과 관련된 행위들의 기반으로 이용되고 있기 때문에 만들어지게 되었다. 게다가 이러한 정보시스템에 대한 공격을 통해 공격자가 직·간접적으로 얻는 경제적 이득으로 인해 정보 시스템에 대한 공격이 점차 늘어나고 있는 상황에서, 취약점은 공격자의 입장에서는 공격 지점이, 방어자의 입장에서는 방어의 최우선 지점이 되기에 정보로서의 가치가 매우 높을 수밖에 없다. 그러므로 버그 바운티에 참여하는 주체들은 정보 시스템의 안전과 안정 및 금전적 보상 등을 위해 이러한 가치가 있는 취약점을 서로 거래한다는 점에서 버그 바운티는 취약점 마켓의 일종이며, 이러한 버그 바운티의 운영은 버그 바운티에 참여하는 각 주체들의 이익의 교환으로 인해 자발적으로 이루어진다. 이를 주체 별로 살펴보면 우선, 버그 바운티의 운영주체는 자신의 정보 시스템에 존재하는 취약점을 줄여 안전하고 안정적인 상태로 이를 운영하고, 이를 기반으로 사업을 지속하려 한다. 더불어 이들은 이를 위한 금전과 시간이라는 비용의 감소도 함께 추구하기에, 결과적으로 버그 바운티 운영주체는 효율적이고 효과적인 취약점의 발견을 통한 정보 시스템의 안전 및 안정을 위해 버그 바운티에 참여한다. 이러한 버그 바운티 운영주체와의 실질적 이익 교환 상대인 버그 바운티 참여자는 자신이 취약점을 찾는데 들인 노력에 대한 금전적 보상과 자신이 정보 시스템 안전과 안정에 도움을 주었다는 등의 감정적 이득을 위해 버그 바운티에 참여한다. 또한 취약점을 찾아 보고하였다는 사실이 참여자의 이력으로 작용하는 등의 잠재적 이익과 버그 바운티라는 계약에 의한 합법적인 시장에 참여하여 위법적 행위에 따른 위험을 피할 수 있다는 소극적 이익을 추구할 수 있으므로 버그 바운티에 참여한다. 그리고 마지막으로 플랫폼은 이러한 두 주체들 사이의 중개자 역할을 하여 얻을 수 있는 금전적 이익으로 인해 버그 바운티에 참여하게 된다. 이렇듯 버그 바운티에 참여하는 각 주체들은 이러한 서로의 이익에 따라 자신의 행위에 대하여 각자의 이해에 맞도록 비용 등을 산출하고 그에 따른 버그 바운티 프로그램의 설계나 참여를 선택하게 된다. 이때, 버그 바운티의 대상이 되는 취약점은 발견의 난이도나 해당 취약점이 가진 위험도에 따라 다양하게 존재하여 버그 바운티 운영주체가 버그 바운티에 걸게 되는 금전적 이익이나 비금전적 이익이 달라진다. 그러므로 이렇게 다양한 종류의 취약점을 대상으로 하는 버그 바운티도 다양한 이익의 스펙트럼을 가진 프로그램들로 구성되어, 버그 바운티에 참여하는 참여자들은 다른 취약점 마켓에서와 같이 자신의 능력에 따라 선택할 수 있게 된다. 또한 다수의 버그 바운티 참여자들이 동일한 취약점 제보를 한 경우에는 그들 중 가장 먼저 취약점 보고를 한 자만이 보상을 받을 수 있기에 버그 바운티 참여자들은 경쟁 상태에 놓이게 되며, 그들 간의 경쟁에서 이기기 위해 참여자들은 자신의 능력을 제고하려는 성향을 가지게 된다. 이는 결과적으로 취약점에 대한 발견을 더 빠르고 정확하게 할 수 있는 기반으로 작용하게 되어 시장 내의 선순환이 이루어지게 된다. 게다가 투사이드 바운티 플랫폼에서는 플랫폼을 사이에 둔 버그 바운티 운영주체와 참여자 간의 네트워크 효과가 일어나 각 주체들이 서로에게 영향을 주면서 시장을 유지시키고 있다는 것을 확인할 수 있다. 따라서 이와 같이 버그 바운티는 별다른 위로부터의 명령이나 지시 없이도, 자유롭고 합리적인 버그 바운티 참여 주체들의 이익 추구를 통해 자연스럽게 시장이 운영되고 존속되며 발전한다는 것을 알 수 있다.[3]
중요성[편집]
사이버 공격과 랜섬웨어 공격이 급증함에 따라 버그 바운티가 모든 보안 프로그램의 필수 요소로 부각된다. 보안을 강화하고 사용자를 보호하기 위해 보안취약점을 발견하는 사람들에게 보상을 제공하는 프로그램이다. 보상(바운티)은 취약점의 심각도에 따라 달라진다. 아카마이 최근 보고서에 따르면, 버그 바운티 프로그램이 정규직 보안 연구원을 고용하는 것보다 버그 당 투자 자본 수익률이 가장 높은지에 대해서는 논란이 있다. 그러나 UC 버클리 연구에 따르면 보안취약점을 찾는 데 있어 VRP는 사내 보안 연구원보다 비용 효율성이 100배 더 높을 수 있다고 발표한 바 있다. 내부에서 관리하든 써드파티를 통해 관리하든, 보안연구원과 협력하면 기업에서 발견된 취약점을 더 잘 관리하고 이러한 취약점을 악의적인 해커에게 노출하지 않도록 장려할 수 있기 때문이다. 또한, 악성 해커가 취약점을 찾아 악용하기가 더욱 어려워지고, 제로 데이 유출 가능성이 줄어들 수 있다. 기술 대기업인 구글은 2020년 VRP에 670만 달러를 지출하며 신기록을 경신했다. 2010년 처음 만들어진 구글 크롬의 VRP는 최근에 도용 연구 보조금(Abuse Research Grant)까지 포함하며 보다 확장됐다. 이 보조금은 구글 제품에서 버그를 발견한 이후가 아니라 잠재적인 버그를 조사한 연구원에게 선불로 제공된다. 인터넷에 연결되는 스마트 기기가 다양해지고 오픈소스 구성 요소가 널리 사용됨에 따라 CISO는 광범위하고 빠르게 변화하는 위협 환경에 직면하고 있다. 기업은 제로데이 취약점 또는 큰 이슈가 될 수 있는 버그에 대비해야 하며, 사이버 보안 체계의 잠재적 결함을 발견하고, 소통하고, 검증하고, 문서화할 수 있는 강력한 프로세스를 갖추고 있어야 한다고 보고서는 강조하고 있다. CISO, 사이버위협 인텔리전스 정보 수집·활용 방안 마련해야 한편, 보고서는 CISO가 사이버 보안 위협을 효과적으로 방어하는 데 활용할 수 있는 신뢰할 수 있고 유용한 데이터가 필요하다고 말한다. 해커들은 다크웹에서 서로 협력하기도 하고 외국 정부 기관과 협력하면서 정보를 교환한다. 보안기업 카스퍼스키(Kaspersky)가 5천 200명의 IT 및 사이버 보안 전문가를 대상으로 실시한 연구에 따르면, 3명 중 2명이 이미 전문 커뮤니티에 참여하고 있음에도 불구하고 2명 중 1명은 위협 인텔리전스 정보를 공유하지 못하고 있다고 지적한 바 있다. CISO는 지속적인 대화 및 긴밀한 협업을 통해 보안 침해가 있는 부분을 파악하고 향후 공격을 방어할 방법에 대한 권장 사항을 확보해야 할 수 있어야 한다는 것이다. 또한 보안 업계에서 효율성을 높이려면 드러나지 않은 부분을 파헤칠 수 있는 파트너십의 수가 중요하다고 말한다. 정보 공유 포럼은 자주 언급되지만 광범위하고 지속적이며 협력적인 행동은 보이지 않고 있다. 특히 한국은 사이버위협에 대한 정보 공유가 턱없이 부족한 상황이다. 정보 공유는 기술 데이터에만 국한되는 것이 아니라 가능한 공격, 방어 기술, 지속적인 위협에 대한 경고를 포함해야 한다. 사이버 방어를 강화하기 위해서는, 다른 사람들의 경험은 큰 도움이 된다. 그렇지 않으면 정보가 부족한 상태에서 싸울 수밖에 없다. 보고서는 말미에, 한 조직의 이익을 뛰어넘어 전체 커뮤니티를 보호하기 위해 투자할 준비가 되어 있어야 한다. 가장 약한 부분이 가장 큰 리스크가 되기 때문이다.[8]
사례[편집]
구글[편집]
2021년 7월, 구글의 버그 바운티 운영이 10주년을 맞았다. 버그 바운티 프로그램을 10년 동안 운영해 온 구글은, 앞으로 10년은 오픈소스의 차례라고 천명했다. 그러면서 오픈소스를 활용하는 모든 조직들이 오픈소스 관리에 참여하길 바란다고 말하기도 했다. 구글의 버그 바운티는 취약점 보상 프로그램(Vulnerability Rewards Program, VRP)이라고 불린다. 구글은 10년 전 취약점 보상 프로그램을 처음 시작한 날, 연구원들이 제출한 취약점 보고서는 총 25건이었다며 그렇게 시작한 것이 1만 1055개로 늘어난 것이라고 발표했다. 또한 외부 취약점 연구자들에게 지출한 보상금은 총 2900만 달러가 넘는다고 덧붙였다. 구글 취약점 보상 프로그램 관리자인 얀 켈러(Jan Keller)는 일반 소프트웨어 생태계에 버그 바운티 제도가 안정적으로 자리를 잡기 시작했으니 이제 이것을 오픈소스 커뮤니티 쪽으로 확대해야 할 시기라고 주장했다. 실제로 오픈소스는 현대 소프트웨어 생태계에서 꽤 중요한 위치를 차지하고 있음에도 버그 바운티라는 시장 내에서 괄시받고 있다. 물론 인터넷 버그 바운티(Internet BugBounty) 등 오픈소스를 대상으로 한 버그 바운티 프로그램이 존재하긴 하지만 아직 규모 면에서 미약하다. 오픈소스의 강화를 위한 목소리가 보안 업계로부터 계속해서 나오기 시작한 상황에서, 구글이 오픈소스 버그 바운티를 주장한 건 자연스러운 흐름이라고 볼 수 있다. 버그 바운티 프로그램은 적은 비용으로 취약점을 찾아내게 해 주고, 해킹 기술을 가진 자들이 다크웹으로 들어가지 않도록 어느 정도 억제하는 기능이 있다고 알려져 있다. 하지만 운영이 쉽지 않은 것이 사실이다. 특히 연구자들에게 줄 보상금 마련이 어려운 것으로 알려져 있다. 그렇기 때문에 구글이나 마이크로소프트와 같은 큰 기업들이 앞장서서 하고 있고, 애플이 얼마 전까지 ‘인색하다’는 평가를 들었던 것이다. 구글은 앞으로 10년 동안 오픈소스를 위한 버그 바운티에 집중하겠다고 발표했다. 인터넷 버그 바운티와 같은 기존 플랫폼의 확대를 돕고, 추가 플랫폼을 마련하여 개발자들이 악성코드를 모르고 사용하는 일을 줄여나갈 것이라는 계획이다. 이를 위해 이미 지원하는 오픈소스 버그 바운티 프로그램들에 대한 지원책을 늘리고, 버그 바운티 대상이 되는 오픈소스 요소들도 증대시키겠다고 한다. 그러면서 켈러는 이것이 구글만의 사업이 되어서는 안 되며, 그렇게 되지 않기를 바란다고 강조했다. 오픈소스는 구글이 온전히 통제할 수도 없고 그래서도 안 되는 요소이며 이 오픈소스 버그 바운티라는 개념이 많은 기업의 공동 벤처가 될 것을 희망했다. 예를 들어 리눅스(Linux)라는 오픈소스는 수도 없이 많은 시스템에 사용되고 있는데, 사용하는 만큼 같이 책임도 졌으면 한다고 말했다. 구글은 다음 10년을 예측하며 인공지능(AI)과 머신러닝을 활용한 코드 분석 및 취약점 탐지가 더 활성화될 것이라고 발표했다. 실제로 인공지능은 개발과 취약점 연구에 유의미한 도움을 주고 있다. 예를 들어 2021년 7월 깃허브(GitHub)는 개발자들에게 도움을 주기 위한 자동 개발 도구인 코파일럿(Copilot)을 발표했었다. 코파일럿은 머신러닝을 기반으로 한 플랫폼으로 오픈에이아이(Open AI)의 코덱스(Codex)를 기반으로 하고 있다. 개발자들이 코딩을 타이핑할 때 자동으로 완성해 준다. 버그 바운티 플랫폼인 버그크라우드(BugCrowd) 역시 '해커의 머릿속 2020'(Inside the Mind of a Hacker 2020)이라는 보고서를 통해 78%의 해커들이 인공지능을 통한 코드 분석 덕분에 계속해서 주도권을 쥘 수 있다고 보고 있음을 조사해 밝힌 바 있다. 물론 아직 인공지능을 기반으로 한 자동 취약점 탐지 툴이 대세라고까지 말하기는 어려운 단계다. 이런 종류의 도구들은 현재도 계속해서 발전하는 중이다. 켈러는 이제 버그 바운티가 중요한 투자처라는 건 주요 기업들이 모두 깨닫고 있다며 취약점 익스플로잇을 통한 침해 공격은 하루에도 수천, 수만 번씩 일어나는 상황에서 취약점 연구를 활성화 하는 건 너무나 당연한 일이다.[9]
엘리시아[편집]
엘리파이(Elyfi) 테스트넷을 출시한 프롭테크 기업 엘리시아(Elysia)는 자사의 서비스 품질을 높이기 위해 버그 등으로 인한 발생하는 문제점을 점검하고자 서비스를 실시간 가동하며 이용자들에게 신고를 받고 해당 부분을 보완하는 버그 바운티를 실시 중이다. 엘리시아는 엘리시아 생태계의 구축을 위하여 선보인 엘리파이 테스트넷의 버그리포팅을 전달하거나 제안을 하는 이용자에게 보상을 제공하기 위한 보상체계를 마련했다. 버그 가능성의 정도와 심각성 정도에 따라 구분하여 최저 1백 달러부터 최대 1십만 달러 가치만큼의 자체 발행한 엘(EL) 코인으로 포상금을 지급한다. 문제 가능성은 OWASP 위험등급 모델에 따라 결정되며, 신청 시 특별한 양식은 없고 스크린샷이나 영상을 포함하면 된다. 버그 바운티는 기존에는 자사 서비스의 취약한 부분을 공개한다는 측면에서 꺼리기도 했으나 IT 기술의 발달과 이용자의 눈높이 상승 등으로 더욱 완벽한 서비스 제공의 중요도가 커지면서 버그 바운티에 대한 필요성이 늘어나는 추세로, 엘리시아 역시 이에 공감해 버그 바운티를 도입한 것으로 보인다. 한편, 엘리파이는 블록체인에 존재하던 가상자산에 금융자산을 적용한 탈중앙 프로젝트로, 부동산 투자에 참여하고 있는 개인, 기관이 웹과 앱, SDK, API 연결을 통해 손쉽게 참여할 수 있는 환경을 구축하는 엘리파이 생태계에 중요한 역할을 하는 서비스다.[10]
휴렛팩커드[편집]
휴렛팩커드(Hewlett-Packard)는 크라우드소싱 기반 보안 전문가 집단 버그크라우드(Bugcrowd)와 함께 보안 취약점 보고 체계를 관리하고 자사의 기업용 프린터 제품군의 보안을 강화해나간다는 방침이다. 휴렛팩커드는 오랜 기간 제품 보안 혁신과 새로운 업계 보안 표준을 주도해왔으며, 프린터 버그 바운티 프로그램 역시 자사가 고객과 파트너에게 최상의 보안성을 제공하는 데 중요한 역할을 할 것이라고 밝혔다. 버그 카운티 프로그램의 내용은 다음과 같다. 먼저 연구자가 개별 프로그램에서 발견한 보안 취약점은 버그크라우드로 보고된다. 또한 이전에 휴렛팩커드가 발견한 보안 취약점을 보고하면 평가를 통해 격려금을 지급한다. 버그크라우드는 취약점을 확인하고 보안 위협의 수준에 따라 최대 1만 달러의 보상을 제공할 계획이다. 시본 얼브라이트(Shivaun Albright) HP프린터 보안 부문 최고기술책임자(Chief Technologist)는 사이버 위협이 놀라운 속도로 고도화됨에 따라, 기업들이 펌웨어 단계에서부터 신뢰할 수 있고 복원 가능한 보안을 제공하기 위해 가능한 자원을 모두 활용하는 것이 중요해졌다며, 휴렛팩커드는 세계에서 가장 안전한 프린터를 만들어내고자 노력을 아끼지 않을 것이라고 밝혔다. HP는 프린터 전용 버그 바운티 프로그램 운영에 투자하는 최초의 기업으로, 기업과 임직원을 겨냥한 외부 위협으로부터 고객을 보호한다는 계획이다. 버그크라우드는 최근 부상하는 주요 보안 위협은 말단 기기를 대상으로 하며, 업계 전반에 걸쳐 프린터 보안 취약성이 한 해 동안 21% 상승했다고 밝힌 바 있다.[11]
엔키[편집]
엔키(ENKI)는 해커의 관점으로 보안 문제를 해결하는 사이버 보안 전문기업이다. 화이트해커 출신 임직원들이 기업의 인프라와 대고객 서비스 등에 존재하는 보안 문제들을 찾아내고 보호한다. 버그 바운티 플랫폼 '버그캠프'를 론칭한 바 있다. 엔키의 임직원들은 '미국 데프콘(DEFCON) CTF 본선 5회 진출'(국내 1위), 사이버공격방어대회 방어팀 1위, 공격팀 2위'등 국내외 해킹대회 수상 경력을 보유한 화이트해커로 구성돼 있다. 그 능력을 인정받아 국가보안기술연구소 사이버공격방어대회(19·20·21), 코드게이트(21), 금융보안원 사이버침해 위협분석대회(20·21) 등의 문제 출제와 운영을 담당하고 있다. 엔키가 제공하는 주요 서비스는 침투 테스트(모의해킹), 악성코드 분석(EDA, Expert Deep Analysis), 보안교육훈련, 보안기술 R&D 등 4개다. 침투 테스트는 공격자의 시점으로 웹, 모바일앱(애플리케이션), IT 인프라, 시스템 소프트웨어 등에서 악용될 소지가 있는 보안 문제를 미리 찾아내 해결하는 서비스다. 악성코드 분석 서비스는 공격자의 흔적, 악성으로 의심되는 파일, 연관 위협 정보 등을 분석해 결과를 제공하는 서비스다. 보안교육훈련은 최신 보안기술 교육과 실제 보안 사고를 모사한 실습 콘텐츠를 통해 참여자의 사고 대응 역량을 강화하는 서비스다. 보안기술 연구개발은 운영체제와 브라우저 등 고난도 취약점을 연구해 고객 맞춤형 보안 기능을 연구 개발하는 서비스다.[12]
금융보안원[편집]
금융보안원이 2021년 금융권 버그 바운티를 실시한다. 국내·외에 거주하는 국민이면 누구나 참가할 수 있다. 신고된 취약점은 금융보안원 내·외부 보안 전문가가 영향도, 공격 난이도, 발굴 난이도 등을 평가한 뒤 포상금 지급 대상을 선정한다. 포상 기준에 따라 최대 1000만 원까지 포상금이 지급된다. 금융보안원은 신고된 취약점을 소프트웨어 제조사와 신속 공유하고 보안 업데이트 프로그램을 개발, 적용할 방침이다. 이를 통해 금융 소비자에게 안전한 전자 금융 거래 환경을 제공하고 금융사 사이버위협 대응 역량을 제고할 것으로 기대한다. 금융보안원 측은 금융권 정보기술(IT) 개발·운영 아웃소싱이 증가하고 온라인 거래가 일상화하는 가운데 금융사와 금융 소비자가 이용하는 소프트웨어 보안은 필수라면서 금융권 버그 바운티가 전자금융 소프트웨어 보안성 확보에 실질적으로 활용되도록 관심과 참여를 바란다는 입장을 밝혔다. 한편 금융보안원은 2019년부터 매년 금융권 버그 바운티를 개최해 왔으며 2019년 13건, 2020년 16건 보안 취약점을 발굴해 보완했다.[13]
각주[편집]
- ↑ Shine Myself, 〈Bug Bounty Platform〉, 《티스토리》, 2020-02-21
- ↑ 길민권, 〈엔키, 손쉽고 체계적인 버그바운티 플랫폼 ‘버그캠프’ 런칭〉, 《데일리시큐》, 2021-07-19
- ↑ 3.0 3.1 3.2 3.3 3.4 3.5 박혜성, 권헌영, 〈Problems and Solutions of the Korean Bug Bounty Program (한국 버그 바운티 프로그램의 제도적인 문제점과 해결방안)〉, 《고려대학교 정보보호대학원》, 2019-12-31
- ↑ 문가용 기자, 〈신년, 간략히 짚어보는 버그바운티의 역사와 미래〉, 《보안뉴스》, 2017-01-02
- ↑ FireEye, 〈파이어아이 버그 바운티(Bug Bounty) 프로그램 소개 - bugcrowd에 프로그램 페이지 개설〉, 《네이버 블로그》, 2020-08-20
- ↑ 414S, 〈(해킹존) 삼성SDS 버그바운티 플랫폼 정보 공유!〉, 《티스토리》, 2021-07-14
- ↑ OZ1NG, 〈(Tips) 버그바운티 플렛폼 후기 (해킹존)〉, 《티스토리》, 2021-07-02
- ↑ 길민권, 〈버그바운티와 사이버위협 인텔리전스 정보의 중요성 대두〉, 《데일리시큐》, 2021-08-12
- ↑ 문제용 기자, 〈구글, “앞으로 10년은 오픈소스 버그바운티에 집중할 것”〉, 《보안뉴스》, 2021-08-02
- ↑ 디스 이즈 게임, 〈엘리시아, 디버깅 위한 신고보상제 ‘버그바운티’ 진행 중〉, 《네이버 블로그》, 2021-07-14
- ↑ 정종길 기자, 〈HP, 프린터 보안 위한 ‘버그 바운티 프로그램’ 공개〉, 《아이티데일리》, 2018-10-11
- ↑ 머니투데이, 〈엔키, "화이트해커가 직접 보안 위협에 대응하는 플랫폼"〉, 《머니투데이》, 2021-07-20
- ↑ 오다인 기자, 〈금융보안원, 2021년 금융권 버그바운티 실시〉, 《전자신문》, 2021-05-24
참고자료[편집]
- 〈버그 바운티〉, 《네이버 지식백과》
- 414S, 〈(해킹존) 삼성SDS 버그바운티 플랫폼 정보 공유!〉, 《티스토리》, 2021-07-14
- FireEye, 〈파이어아이 버그 바운티(Bug Bounty) 프로그램 소개 - bugcrowd에 프로그램 페이지 개설〉, 《네이버 블로그》, 2020-08-20
- Shine Myself, 〈Bug Bounty Platform〉, 《티스토리》, 2020-02-21
- 길민권, 〈엔키, 손쉽고 체계적인 버그바운티 플랫폼 ‘버그캠프’ 런칭〉, 《데일리시큐》, 2021-07-19
- 길민권, 〈버그바운티와 사이버위협 인텔리전스 정보의 중요성 대두〉, 《데일리시큐》, 2021-08-12
- OZ1NG, 〈(Tips) 버그바운티 플렛폼 후기 (해킹존)〉, 《티스토리》, 2021-07-02
- 문제용 기자, 〈구글, “앞으로 10년은 오픈소스 버그바운티에 집중할 것”〉, 《보안뉴스》, 2021-08-02
- 디스 이즈 게임, 〈엘리시아, 디버깅 위한 신고보상제 ‘버그바운티’ 진행 중〉, 《네이버 블로그》, 2021-07-14
- 정종길 기자, 〈HP, 프린터 보안 위한 ‘버그 바운티 프로그램’ 공개〉, 《아이티데일리》, 2018-10-11
- 머니투데이, 〈엔키, "화이트해커가 직접 보안 위협에 대응하는 플랫폼"〉, 《머니투데이》, 2021-07-20
- 오다인 기자, 〈금융보안원, 2021년 금융권 버그바운티 실시〉, 《전자신문》, 2021-05-24
- 문가용 기자, 〈신년, 간략히 짚어보는 버그바운티의 역사와 미래〉, 《보안뉴스》, 2017-01-02
- 박혜성, 권헌영, 〈Problems and Solutions of the Korean Bug Bounty Program〉, 《고려대학교 정보보호대학원》, 2019-12-31
같이 보기[편집]