"버그 바운티"의 두 판 사이의 차이

버그 바운티(bug bounty)는 보안취약점 신고제를 뜻하는 단어로, 기업의 서비스 및 제품을 해킹해 취약점을 찾은 해커에게 포상금을 주는 제도이다. 구글, 애플, 마이크로소프트(Microsoft), 페이스북 등 글로벌 기업 대부분이 버그 바운티 프로그램을 시행하고 있다. 한국에서는 삼성, 네이버, 카카오, 네오위즈, 한글과컴퓨터 등 5곳이 버그바운티를 실시하고 있다.^[1]

개요

버그 바운티는 특정 기업에서 제공하는 서비스와 제품을 해킹해서 취약점을 발견한 해커에게 포상금을 지급하는 제도이다. 구글, 애플, 페이스북 등 많은 기업이 버그 바운티 프로그램을 활용하고 있으며, 국내에서도 2012년부터 한국인터넷진흥원(KISA)이 도입하여 운영 중이다. 하지만, 버그 바운티를 운영하고 있는 기업이라고 해서 무턱대고 공격을 수행하는 것은 아니다. 일반적으로는 해커와 기업을 연결하는 전문 업체인 해커원 등을 이용하고 있으며, 자체 플랫폼을 이용하는 경우도 있다.^[2]

버그 바운티 프로그램

기업이 보안을 강화하기 위해 택할 수 있는 전략은 다양하다. 그 중 하나인 버그바운티는 외부 공격자 관점에서 보안 진단을 하는데 탁월하고, 비용대비 효과적이며, 위협을 상시 관리할 수 있다는 장점이 있다. 그러나 기업이 자체적으로 버그바운티를 운영하기 위해서는 취약점 제보에 대응(분석, 평가, 보상 등) 가능한 전문 인력, 제보자와의 원활한 소통, 합리적이고 안전한 참여 정책 설정에 있어 많은 공수와 시행착오가 필요하다. 예를들어 엔키에서 런칭한 버그캠프는 취약점 제보 경험이 많은 해커들과 버그바운티 프로그램을 운영한 경험이 있는 엔지니어가 직접 개발하고 운영하고 있어 손쉽게 체계적인 버그바운티 프로그램을 시작할 수 있다. 또한, 업종과 규모에 관계없이 다양한 정보자산을 버그바운티 프로그램으로 등록할 수 있으며, 다양한 기술 배경과 전문성을 가진 다수의 화이트해커들에게 노출되어 새로운 관점으로 유의미한 취약점 제보를 받을 수 있다.^[3]

사이버 위협

사이버공격과 랜섬웨어 공격이 급증함에 따라, 취약점 보상 프로그램 또는 ‘버그 바운티 헌팅’이 모든 보안 프로그램의 필수 요소로 부각된다. 보안을 강화하고 사용자를 보호하기 위해 보안취약점을 발견하는 사람들에게 보상을 제공하는 프로그램이다. 보상(바운티)은 취약점의 심각도에 따라 달라진다. 아카마이 최근 보고서에 따르면, 버그 바운티 프로그램이 정규직 보안 연구원을 고용하는 것보다 버그당 투자 자본 수익률이 가장 높은지에 대해서는 논란이 있다. 그러나 UC 버클리 연구에 따르면 보안취약점을 찾는 데 있어 VRP는 사내 보안 연구원보다 비용 효율성이 100배 더 높을 수 있다고 발표한바 있다. 내부에서 관리하든 써드파티를 통해 관리하든, 보안연구원과 협력하면 기업에서 발견된 취약점을 더 잘 관리하고 이러한 취약점을 악의적인 해커에게 노출하지 않도록 장려할 수 있기 때문이다. 또한 악성 해커가 취약점을 찾아 악용하기가 더욱 어려워지고, 제로 데이 유출 가능성이 줄어들 수 있다. 기술 대기업인 구글은 2020년 VRP에 670만 달러를 지출하며 신기록을 경신했다. 2010년 처음 만들어진 구글 크롬의 VRP는 최근에 도용 연구 보조금(Abuse Research Grant)까지 포함하며 보다 확장됐다. 이 보조금은 구글 제품에서 버그를 발견한 이후가 아니라 잠재적인 버그를 조사한 연구원에게 선불로 제공된다. 인터넷에 연결되는 스마트 디바이스가 다양해지고 오픈소스 구성 요소가 널리 사용됨에 따라 CISO는 광범위하고 빠르게 변화하는 위협 환경에 직면하고 있다. 기업은 제로데이 취약점 또는 큰 이슈가 될 수 있는 버그에 대비해야 하며, 사이버 보안 체계의 잠재적 결함을 발견하고, 소통하고, 검증하고, 문서화할 수 있는 강력한 프로세스를 갖추고 있어야 한다고 보고서는 강조하고 있다. CISO, 사이버위협 인텔리전스 정보 수집·활용 방안 마련해야 한편 보고서는 CISO가 사이버 보안 위협을 효과적으로 방어하는 데 활용할 수 있는 신뢰할 수 있고 유용한 데이터가 필요하다고 말한다. 해커들은 다크웹에서 서로 협력하기도 하고 외국 정부 기관과 협력하면서 정보를 교환한다. 최근 보안기업 카스퍼스키가 5천200명의 IT 및 사이버 보안 전문가를 대상으로 실시한 연구에 따르면, 3명 중 2명이 이미 전문 커뮤니티에 참여하고 있음에도 불구하고 2명 중 1명은 위협 인텔리전스 정보를 공유하지 못하고 있다고 지적한 바 있다. CISO는 지속적인 대화 및 긴밀한 협업을 통해 보안 침해가 있는 부분을 파악하고 향후 공격을 방어할 수 있는 방법에 대한 권장사항을 확보해야 할 수 있어야 한다는 것이다. 또한 보안 업계에서 효율성을 높이려면 드러나지 않은 부분을 파헤칠 수 있는 파트너십의 수가 중요하다고 말한다. 정보 공유 포럼은 자주 언급되지만 광범위하고 지속적이며 협력적인 행동은 보이지 않고 있다. 특히 한국은 사이버위협에 대한 정보 공유가 턱없이 부족한 상황이다. 정보 공유는 기술 데이터에만 국한되는 것이 아니라 가능한 공격, 방어 기술, 지속적인 위협에 대한 경고를 포함해야 한다. 사이버 방어를 강화하기 위해서는, 다른 사람들의 경험은 큰 도움이 된다. 그렇지 않으면 정보가 부족한 상태에서 싸울 수밖에 없다. 보고서는 말미에, 한 조직의 이익을 뛰어 넘어 전체 커뮤니티를 보호하기 위해 투자할 준비가 되어 있어야 한다. 가장 약한 부분이 가장 큰 리스크가 되기 때문이다. ^[4]

플랫폼

버그 크라우드

버그크라우드는 미국 샌프란시스코에 위치한 기업으로 유명 벤처캐피탈의 투자를 유치한 크라우드 소싱 기반 보안 플랫폼 기업이다. 보안 전문가들을 모으고 이들의 전문 지식과 역량을 바탕으로 버그와 보안 취약점을 찾고, 이를 하는 데 드는 시간과 노력에 정당한 대가를 지불하는 것이 사업 모델이다. 버그크라우드에 개설한 파이어아이 버그 바운티 프로그램의 타깃은 현재 다음과 같습니다. 주로 웹 사이트 테스팅에 한정되어 있다, 2021년 기준으로, 향후 파이어아이 보안 제품과 서비스 부문까지 바운티 프로그램 적용 대상을 확대할 계획이라고 한다.^[5]

해킹존

해킹존은 삼성SDS에서 설립한 국내 버그 바운티 플랫폼이다. 해킹존에는Web/App/IoT/Client SW/HW(도어락) 등 다양한 기업 제품을 대상으로 하지만. 그 중 관련된 버그 바운티 프로그램이 압도적으로 많은 비중을 차지한다. 삼성에서 주관하는 플랫폼이기 때문에 삼성 제품이나 삼성 서비스 사이트가 대상으로 올라오기도 한다.^[6] 그리고 포상금은 상대적으로 평균치 보다 많은 편이다.그리고 아직 서비스를 운영하기 전인 사이트들에 대해서는 VDI를 이용해 제보자가 원격으로 해당 사이트에 접속할 수 있는 PC에 접속하여 해당 PC내에서 버그 바운티를 진행 할 수 있는 시스템이 갖추어져 있었다.^[7]

버그 바운티 운영

구글

2021년 7월, 구글의 버그 바운티 운영이 10주년을 맞았다. 버그바운티 프로그램을 10년 동안 운영해 온 구글은, 앞으로 10년은 오픈소스의 차례라고 천명했다. 그러면서 오픈소스를 활용하는 모든 조직들이 오픈소스 관리에 참여하길 바란다고 말하기도 했다. 구글의 버그바운티는 취약점 보상 프로그램(Vulnerability Rewards Program, VRP)이라고 불린다. 구글은 10년 전 취약점 보상 프로그램을 처음 시작한 첫 날, 연구원들이 제출한 취약점 보고서는 총 25건이었다며 그렇게 시작한 것이 1만 1055개로 늘어난 것이라고 발표했다. 또한 외부 취약점 연구자들에게 지출한 보상금은 총 2900만 달러가 넘는다고 덧붙였다. 구글 취약점 보상 프로그램 관리자인 얀 켈러(Jan Keller)는 일반 소프트웨어 생태계에 버그바운티 제도가 안정적으로 자리를 잡기 시작했으니 이제 이것을 오픈소스 커뮤니티 쪽으로 확대시켜야 할 시기라고 주장했다. 실제로 오픈소스는 현대 소프트웨어 생태계에서 꽤나 중요한 위치를 차지하고 있음에도 버그바운티라는 시장 내에서 괄시받고 있다. 물론 인터넷 버그 바운티(Internet BugBounty) 등 오픈소스를 대상으로 한 버그바운티 프로그램이 존재하긴 하지만 아직 규모 면에서 미약하다. 오픈소스의 강화를 위한 목소리가 보안 업계로부터 계속해서 나오기 시작한 상황에서, 구글이 오픈소스 버그바운티를 주장한 건 자연스러운 흐름이라고 볼 수 있다. 버그바운티 프로그램은 적은 비용으로 취약점을 찾아내게 해 주고, 해킹 기술을 가진 자들이 다크웹으로 들어가지 않도록 어느 정도 억제하는 기능을 가지고 있다고 알려져 있다. 하지만 운영이 쉽지 않은 것이 사실이다. 특히 연구자들에게 줄 보상금 마련이 어려운 것으로 알려져 있다. 그렇기 때문에 구글이나 MS와 같은 큰 기업들이 앞장서서 하고 있고, 애플이 얼마 전까지 ‘인색하다’는 평가를 들었던 것이다. 구글은 앞으로 10년 동안 오픈소스를 위한 버그바운티에 집중하겠다고 발표했다. 인터넷 버그 바운티와 같은 기존 플랫폼의 확대를 돕고, 추가 플랫폼을 마련하여 개발자들이 악성 코드를 모르고 사용하는 일을 줄여나갈 것이라는 계획이다. 이를 위해 이미 지원하고 있는 오픈소스 버그바운티 프로그램들에 대한 지원책을 늘리고, 버그바운티 대상이 되는 오픈소스 요소들도 증대시키겠다고 한다. 그러면서 켈러는 이것이 구글만의 사업이 되어서는 안 되며, 그렇게 되지 않기를 바란다고 강조했다. 오픈소스는 구글이 온전히 통제할 수도 없고 그래서도 안 되는 요소이며 이 오픈소스 버그바운티라는 개념이 많은 기업들의 공동 벤처가 될 것을 희망했다. 예를 들어 리눅스라는 오픈소스는 수도 없이 많은 시스템에 사용되고 있는데, 사용하는 만큼 같이 책임도 졌으면 한다고 말했다. 글은 다음 10년을 예측하며 인공지능과 머신러닝을 활용한 코드 분석 및 취약점 탐지가 더 활성화 될 것이라고 발표했다. 실제로 인공지능은 개발과 취약점 연구에 유의미한 도움을 주고 있다. 예를 들어 7월 깃허브(GitHub)는 개발자들에게 도움을 주기 위한 자동 개발 도구인 코파일럿(Copilot)을 발표했었다. 코파일럿은 머신러닝을 기반으로 한 플랫폼으로 오픈 AI(Open AI)의 코덱스(Codex)를 기반으로 하고 있다. 개발자들이 코딩을 ‘타이핑’할 때 자동으로 완성시켜 준다. 버그바운티 플랫폼인 버그크라우드(BugCrowd) 역시 해커의 머릿속 2020(Inside the Mind of a Hacker 2020)이라는 보고서를 통해 78%의 해커들이 인공지능을 통한 코드 분석 덕분에 계속해서 주도권을 쥘 수 있을 것이라고 보고 있음을 조사해 밝힌 바 있다. 물론 아직 인공지능을 기반으로 한 자동 취약점 탐지 툴이 ‘대세’라고까지 말하기는 어려운 단계다. 이런 종류의 도구들은 현재도 계속해서 발전하는 중이다. 켈러는 이제 버그바운티가 중요한 투자처라는 건 주요 기업들이 모두 깨닫고 있다며 취약점 익스플로잇을 통한 침해 공격은 하루에도 수천, 수만 번씩 일어나는 상황에서 취약점 연구를 활성화 시키는 건 너무나 당연한 일이라고 정리했다.^[8]

각주

같이 보기

• 버그
• 보상금
• 취약점
• 해킹
• 해커
• 해커원

이 버그 바운티 문서는 보안에 관한 글로서 내용 추가가 필요합니다. 위키 문서는 누구든지 자유롭게 편집할 수 있습니다. [편집]을 눌러 문서 내용을 추가해 주세요.