모바일 기기 제조업체들, 버그바운티 시행 늘리는 중
웹이나 앱보다 까다로워... 포상 액수도 점차 커질 듯
[보안뉴스 오다인 기자] 스마트폰 사용이 보편화하고 모바일 위협도 함께 증가함에 따라 모바일 기기 제조업체들이 보안 강화 차원에서 버그바운티 프로그램에 대한 투자를 늘리고 있다.
[이미지=iclickart]
안드로이드 기기 시장에서 가장 큰 점유율을 차지하고 있는 삼성의 경우, 올해 버그바운티 프로그램을 시작하면서 발견된 취약점의 심각성에 따라 각 최대 2억 2,000만 원(20만 달러)을 제공한다고 밝혔다. 앞서 애플은 2016년에 버그바운티를, 구글은 2015년에 ‘안드로이드 보안 포상 프로그램(Android Security Rewards Program)’을 시작했다. 그보다 전인 2014년에는 블랙폰(Blackphone)을 만드는 사일런트서클(Silent Circle)이 모바일 회사로서는 최초로 버그바운티를 개최했다.
버그바운티 플랫폼 제공업체 해커원(HackerOne)의 공동 설립자이자 최고기술책임자(CTO) 알렉스 라이스(Alex Rice)는 “모바일 기기 제조업체들이 예전보다 진지하게 보안을 고려하고 있다는 신호”라고 말했다. 라이스는 버그바운티 시행이 증가하는 건 “모든 사람에게 영향을 미치는 일”이며 “향후 버그바운티를 시행하지 않는 조직들의 경우 문외한(outlier)처럼 보일 것”이라고 덧붙였다.
버그바운티란 소프트웨어 및 하드웨어에서 취약점을 찾아내는 윤리적인 해커들을 포상하는 프로그램을 말한다. 넷스케이프(Netscape)가 1995년에 첫 번째 버그바운티를 실시한 이래 이어져왔으며, 최근 들어서야 모바일 기기 제조업체들도 동참하게 됐다.
버그바운티 프로그램은 자사 제품 내 취약점을 찾고 싶은 회사들에 의해 주최·주관되기도 하고, 해커원이나 버그크라우드(Bugcrowd) 같은 버그바운티 전문업체에 아웃소싱 돼서 주관되는 경우도 있다. 일부 버그바운티 프로그램은 참여가 일반에 열려있지만 초청에 의해서만 참여할 수 있는 버그바운티 프로그램들도 있다.
변화의 기폭제
라이스에 따르면, 모바일 기기 제조업체들은 모바일 생태계가 성숙할 때까지 기다려야 했기 때문에 버그바운티 프로그램을 시행하기까지도 꽤 오랜 시간이 걸렸다.
“모바일 기기 제조업체들은 다른 파트너들과 상호 연결돼 있습니다. 각각의 제조업체는 공격 대상 전역을 통제할 수 없어요. 제조업체 입장에선 자사 제품에서 뭔가 고치려고 할 때 버그바운티 프로그램을 시행하는 게 좋은 방법일 수 있죠.”
라이스는 칩셋 제조업체 퀄컴(Qualcomm) 및 구글 안드로이드 등 모바일 기기 분야 파트너들이 버그바운티를 계속해서 더 많이 시행함에 따라 모바일 기기 제조업체들도 버그바운티를 시행하기가 더 쉬워졌다고 짚었다.
“삼성 버그바운티 프로그램에는 삼성 모바일 기기나 삼성 앱에 특정된 취약점만 제출될 수 있지만, 적어도 이젠 삼성이 관련 없는 취약점을 제보 받았더라도 어느 업체에 전달하면 되는지 알 수 있는 환경이 됐습니다. 업체가 서로서로 화합하면서 전체적인 그림을 그릴 수 있게 됐다는 말입니다.”
버그크라우드 설립자 겸 CTO 케이시 엘리스(Casey Ellis)는 모바일 버그바운티 프로그램에 참여할 연구자들을 충분히 발굴하는 일 또한 남겨진 과제라고 지적했다.
엘리스에 따르면, 3~4년 전 버그크라우드는 윤리적인 해커 커뮤니티에 접촉해 모바일 기기에 보다 집중하고, 모바일 취약점 발견에도 처음부터 관여해달라고 요청했다. 그러나 어떤 부분에서 이들을 설득하기 힘들었다고 밝혔다.
“모바일 기기는 웹이나 모바일 애플리케이션보다 공격하기 더 어렵습니다. 그래서 버그바운티 개최 시 해커들은 모바일 기기의 투자수익률이 낮기 때문에 여기에 잘 들어오려고 하지 않죠. 다른 말로 하자면, 모바일 기기에서 취약점을 찾아낸다는 건 공격이 빠르게 확장하는 상황에서 고도로 가치 있는 역량을 갖고 있다는 뜻입니다.”
또한, 모바일 버그바운티 참가자들은 기기 내 모든 컴포넌트에 접근해야 한다는 문제에 직면한다. 라이스는 이 문제가 모바일 버그바운티에 또 다른 층위의 복잡성과 일감을 추가한다고 말했다.
하드웨어 취약점과 소프트웨어 취약점, 포상금 다르다
버그바운티 전문가들은 버그바운티 프로그램 시행 시 하드웨어에서 취약점을 발견하면 소프트웨어 취약점을 발견했을 때보다 더 많은 포상금을 주는 경향이 있다고 밝혔다.
엘리스는 “하드웨어에서 취약점을 찾는다는 건 애플리케이션에서 취약점을 찾는 것보다 더 많은 조사와 시간이 필요한 일일뿐더러 더 희귀한 역량을 갖췄다는 뜻”이라고 설명했다. “이런 이유에서 하드웨어 취약점은 그 영향력을 반영해서 더 높은 포상금이 주어지며, 재능 있는 연구자들이 프로그램에 참여할 수 있도록 동기도 부여합니다.”
라이스는 신뢰 환경에서 원격 코드 실행을 가능케 하는 취약점이 대개 가장 큰 포상금을 받는다고도 덧붙였다.
삼성, 구글, 애플이 모두 발견된 취약점의 심각성에 따라 2억 2,000만 원(20만 달러)가량의 포상금을 제시하고 있지만, 해커원은 치명적인 모바일 취약점 한 건에 대한 포상금이 통신 업계에선 평균 42만 원(383달러), 기술 업계에선 219만 원(2,015달러) 수준이었다고 보고서에서 지적했다.
라이스는 “포상금 양이 커지리라 기대한다”면서 “향후 더 많은 참가자들이 나타날 것이고, 모바일 기기와 애플리케이션에서 더 많은 영역을 버그바운티 프로그램으로 다룰 수 있을 것”이라고 전망했다.
[국제부 오다인 기자(boan2@boannews.com)]
웹이나 앱보다 까다로워... 포상 액수도 점차 커질 듯
[보안뉴스 오다인 기자] 스마트폰 사용이 보편화하고 모바일 위협도 함께 증가함에 따라 모바일 기기 제조업체들이 보안 강화 차원에서 버그바운티 프로그램에 대한 투자를 늘리고 있다.
[이미지=iclickart]
안드로이드 기기 시장에서 가장 큰 점유율을 차지하고 있는 삼성의 경우, 올해 버그바운티 프로그램을 시작하면서 발견된 취약점의 심각성에 따라 각 최대 2억 2,000만 원(20만 달러)을 제공한다고 밝혔다. 앞서 애플은 2016년에 버그바운티를, 구글은 2015년에 ‘안드로이드 보안 포상 프로그램(Android Security Rewards Program)’을 시작했다. 그보다 전인 2014년에는 블랙폰(Blackphone)을 만드는 사일런트서클(Silent Circle)이 모바일 회사로서는 최초로 버그바운티를 개최했다.
버그바운티 플랫폼 제공업체 해커원(HackerOne)의 공동 설립자이자 최고기술책임자(CTO) 알렉스 라이스(Alex Rice)는 “모바일 기기 제조업체들이 예전보다 진지하게 보안을 고려하고 있다는 신호”라고 말했다. 라이스는 버그바운티 시행이 증가하는 건 “모든 사람에게 영향을 미치는 일”이며 “향후 버그바운티를 시행하지 않는 조직들의 경우 문외한(outlier)처럼 보일 것”이라고 덧붙였다.
버그바운티란 소프트웨어 및 하드웨어에서 취약점을 찾아내는 윤리적인 해커들을 포상하는 프로그램을 말한다. 넷스케이프(Netscape)가 1995년에 첫 번째 버그바운티를 실시한 이래 이어져왔으며, 최근 들어서야 모바일 기기 제조업체들도 동참하게 됐다.
버그바운티 프로그램은 자사 제품 내 취약점을 찾고 싶은 회사들에 의해 주최·주관되기도 하고, 해커원이나 버그크라우드(Bugcrowd) 같은 버그바운티 전문업체에 아웃소싱 돼서 주관되는 경우도 있다. 일부 버그바운티 프로그램은 참여가 일반에 열려있지만 초청에 의해서만 참여할 수 있는 버그바운티 프로그램들도 있다.
변화의 기폭제
라이스에 따르면, 모바일 기기 제조업체들은 모바일 생태계가 성숙할 때까지 기다려야 했기 때문에 버그바운티 프로그램을 시행하기까지도 꽤 오랜 시간이 걸렸다.
“모바일 기기 제조업체들은 다른 파트너들과 상호 연결돼 있습니다. 각각의 제조업체는 공격 대상 전역을 통제할 수 없어요. 제조업체 입장에선 자사 제품에서 뭔가 고치려고 할 때 버그바운티 프로그램을 시행하는 게 좋은 방법일 수 있죠.”
라이스는 칩셋 제조업체 퀄컴(Qualcomm) 및 구글 안드로이드 등 모바일 기기 분야 파트너들이 버그바운티를 계속해서 더 많이 시행함에 따라 모바일 기기 제조업체들도 버그바운티를 시행하기가 더 쉬워졌다고 짚었다.
“삼성 버그바운티 프로그램에는 삼성 모바일 기기나 삼성 앱에 특정된 취약점만 제출될 수 있지만, 적어도 이젠 삼성이 관련 없는 취약점을 제보 받았더라도 어느 업체에 전달하면 되는지 알 수 있는 환경이 됐습니다. 업체가 서로서로 화합하면서 전체적인 그림을 그릴 수 있게 됐다는 말입니다.”
버그크라우드 설립자 겸 CTO 케이시 엘리스(Casey Ellis)는 모바일 버그바운티 프로그램에 참여할 연구자들을 충분히 발굴하는 일 또한 남겨진 과제라고 지적했다.
엘리스에 따르면, 3~4년 전 버그크라우드는 윤리적인 해커 커뮤니티에 접촉해 모바일 기기에 보다 집중하고, 모바일 취약점 발견에도 처음부터 관여해달라고 요청했다. 그러나 어떤 부분에서 이들을 설득하기 힘들었다고 밝혔다.
“모바일 기기는 웹이나 모바일 애플리케이션보다 공격하기 더 어렵습니다. 그래서 버그바운티 개최 시 해커들은 모바일 기기의 투자수익률이 낮기 때문에 여기에 잘 들어오려고 하지 않죠. 다른 말로 하자면, 모바일 기기에서 취약점을 찾아낸다는 건 공격이 빠르게 확장하는 상황에서 고도로 가치 있는 역량을 갖고 있다는 뜻입니다.”
또한, 모바일 버그바운티 참가자들은 기기 내 모든 컴포넌트에 접근해야 한다는 문제에 직면한다. 라이스는 이 문제가 모바일 버그바운티에 또 다른 층위의 복잡성과 일감을 추가한다고 말했다.
하드웨어 취약점과 소프트웨어 취약점, 포상금 다르다
버그바운티 전문가들은 버그바운티 프로그램 시행 시 하드웨어에서 취약점을 발견하면 소프트웨어 취약점을 발견했을 때보다 더 많은 포상금을 주는 경향이 있다고 밝혔다.
엘리스는 “하드웨어에서 취약점을 찾는다는 건 애플리케이션에서 취약점을 찾는 것보다 더 많은 조사와 시간이 필요한 일일뿐더러 더 희귀한 역량을 갖췄다는 뜻”이라고 설명했다. “이런 이유에서 하드웨어 취약점은 그 영향력을 반영해서 더 높은 포상금이 주어지며, 재능 있는 연구자들이 프로그램에 참여할 수 있도록 동기도 부여합니다.”
라이스는 신뢰 환경에서 원격 코드 실행을 가능케 하는 취약점이 대개 가장 큰 포상금을 받는다고도 덧붙였다.
삼성, 구글, 애플이 모두 발견된 취약점의 심각성에 따라 2억 2,000만 원(20만 달러)가량의 포상금을 제시하고 있지만, 해커원은 치명적인 모바일 취약점 한 건에 대한 포상금이 통신 업계에선 평균 42만 원(383달러), 기술 업계에선 219만 원(2,015달러) 수준이었다고 보고서에서 지적했다.
라이스는 “포상금 양이 커지리라 기대한다”면서 “향후 더 많은 참가자들이 나타날 것이고, 모바일 기기와 애플리케이션에서 더 많은 영역을 버그바운티 프로그램으로 다룰 수 있을 것”이라고 전망했다.
[국제부 오다인 기자(boan2@boannews.com)]
Copyrighted 2015. UBM-Tech. 117153:0515BC
<저작권자: 보안뉴스(www.boannews.com) 무단전재-재배포금지>
.jpg)
.jpg)
.jpg){kind=small}
.jpg){kind=small}
.jpg){kind=small}
.jpg){kind=small}
.jpg){kind=small}
.JPG){kind=small}
.jpg){kind=small}
.jpg){kind=small}
.jpg){kind=small}
.jpg){kind=small}
.jpg){kind=small}
.jpg){kind=small}
.jpg){kind=small}
.jpg){kind=small}
.jpg){kind=small}
.jpg){kind=small}
.jpg){kind=small}
.jpg){kind=small}
.jpg){kind=small}
