.gif)
신규 취약점, 2021년 총 20,142건으로 전년대비 약 10% 증가
보안 취약점에 대응하는 가장 좋은 수단, 버그바운티 프로그램
KISA 운영 보안 취약점 신고포상제에 국내 기업 21곳 참여
‘보안 취약점 정보 포털’ 활성화 위해 기업 버그바운티 참여 확대방안 고민해야
[보안뉴스 권 준 기자] 사이버위협의 주요 요인이 되고 있는 보안 취약점은 무엇보다 신속하게 발견하여 조치하는 것이 중요하다. 이에 정부는 국가 차원에서 국내·외 보안 취약점을 체계적으로 수집·관리하고 수집된 정보를 다양한 이용자가 편리하게 확인·개선할 수 있도록 하는 ‘사이버보안 취약점 정보포털’ 서비스를 24일부터 본격 개시한다고 밝혔다. 이러한 가운데 보안 취약점을 발견해 신고할 경우 포상을 하는 ‘보안 취약점 신고포상제’ 이른바 버그바운티(Bugbounty) 제도의 중요성이 더욱 커지고 있다.
[이미지=utoimage]
한국인터넷진흥원(KISA)가 CVE Details 자료를 분석한 결과에 따르면 매년 신규 취약점 건수는 증가하고 있으며, 2021년은 총 20,142건으로 전년대비 약 10% 증가한 것으로 나타났다. 이는 코로나19 사태로 급속화된 디지털 대전환과 메타버스, NFT, AI 등 신기술이 계속 등장한 데 따른 것으로 보인다.
이러한 취약점에 대응하는 가장 좋은 수단 가운데 하나인 버그바운티 프로그램은 하드웨어, 소프트웨어, 웹 서비스 등 지정된 프로그램의 보안 취약점을 찾아낸 사람에게 취약점의 파급도에 따라 포상금을 지급하는 제도라고 할 수 있다. 취약점을 찾아내는 보안전문가는 개인 역량과 인지도가 상승함과 동시에 포상금으로 금전적 이득을 얻을 수 있으며, 버그바운티에 참여하는 기업의 경우 보안 취약점 패치로 인해 보안 위협에 신속히 대응할 수 있고, 정보보호 비용 예산을 절감하는 동시에 소프트웨어 및 서비스 품질을 향상시킬 수 있다.
▲연도별 취약점(CVE) 건수[자료=CVE Details]
버그바운티 프로그램을 운영하면 조직 내부적으로 보안 인력을 통해 점검하는 것과 비교해 심각도가 높은 취약점을 발견하는데 7배 이상 도움이 된다는 분석 결과도 있다. 기업 자체적인 모의점검의 경우 일회성이고 한정적이며 취약점을 점검하는 테스터가 제한적인 데 비해, 버그바운티는 지속적이고 다면적이며 테스터가 많이 참여할 수 있기 때문이다. 물론 모의점검도 체계적으로 다양한 테스트 옵션을 사용해서 진행할 수 있고, 취약점 보고 이후 작업 및 관리까지 가능하기 때문에 일정 규모 이상이 되는 기업은 가급적이면 버그바운티와 모의점검을 함께 시행하는 것이 가장 효율적인 방법이라고 KISA 측은 설명하고 있다.
이러한 버그바운티 프로그램은 KISA에서 운영하는 보안 취약점 신고포상제가 대표적이다. 이 제도는 국내에서 사용 중인 소프트웨어를 대상으로 분기별 우수 취약점을 선정해 평가 결과에 따라 최대 1,000만원의 포상금을 지급하는 제도로, 국내외에 거주하는 한국인을 참가대상으로 하고 있으며, 분기별 평가를 실시해 3월, 6월, 9월, 12월에 각각 포상금을 지급하고 있다.
다만, 웹 사이트 등 실제 운영 중인 서비스의 경우 사전에 대상과 시기를 정해 한시적으로 취약점 발굴을 허용하는 ‘핵 더 챌린지(Hack the Challenge)’로 운영되고 있다. 실제 운영 중인 서비스에서 동의 없이 취약점을 발굴하는 행위는 정보통신망법에 의거해 정보통신망 침입 행위로 간주되기 때문이다.
그럼 각 기업에서 버그 바운티를 운영하려면 어떻게 해야 할까? 먼저 버그바운티를 허용하는 대상 범위 또는 제품을 선정해야 한다. 이어 1년 간 사용을 계획해 예산을 마련해야 하며, 취약점별로 포상기준을 마련할 필요가 있다. 또한, 취약점을 신고받는 웹페이지를 운영하는 등 취약점 입수체계를 구축하고, 신고된 취약점을 검증하고 평가하며 예산 지급을 진행할 역할을 분담해야 한다.
그러나 기업이 자체적으로 버그바운티를 운영하는 데 어려움을 느낀다면 KISA가 진행하는 신고포상제에 공동운영사로 참여할 수 있다. 자사 소프트웨어 또는 서비스를 취약점 발굴 대상으로 제공하거나 포상금을 신고자에게 직접 지급함으로써 취약점에 대한 책임 있는 역할을 수행할 수 있는 공동운영사는 자체 버그바운티의 단계적 도입을 위한 지원방안으로 활용할 수 있고, 보안 취약점을 빨리 알아내고 신속히 조치함으로써 보안사고 예방에도 큰 효과를 거둘 수 있다.
현재 KISA의 보안 취약점 신고포상제에 공동운영사로 참여하고 있는 기업은 총 21곳으로 2021년 삼성SDS와 현대차, 기아차가 신규로 협약을 맺었다. △2014년 한글과컴퓨터를 시작으로 △2015년 네이버가 참여했으며, △2016년 카카오, 네오위즈게임즈 △2017년 이스트시큐리티, 이니텍, LG전자, 지니언스, 카카오뱅크, 안랩, 잉카인터넷 △2018년 하우리, 엑스블록시스템즈, 보스코인, 글로스퍼 △2019년 에스지에이솔루션즈, 소테리아, 휴네시온 △2020년 지그재그, 케이비전, 지란지교시큐리티 등이 참여하고 있는 상황이다. 이 가운데 네이버는 2019년 3분기부터 공동운영사의 독립 자체 운영 방식을 취하고 있으며, 카카오도 독립 운영을 준비 중인 것으로 알려졌다.
이와 함께 KISA는 한시적으로 참여 기업이 필요한 제품 또는 서비스를 선정해 취약점 발굴을 허용하고 포상금을 지급하는 ‘핵 더 챌린지’ 제도를 2018년부터 운영 중이다. 2018년에는 KISA가 단독으로 진행한 반면, 지난해는 8개 기업이 참가하는 등 개방형 보안 취약점 분석 플랫폼을 도입해 참여 기관과 분야가 점차 확대되고 있는 추세다. 개방형 보안 취약점 분석 플랫폼은 클라우드 형태의 서버를 제공해 분석 대상 소프트웨어 및 서비스를 사전 설치한 후 보안전문가에게 개방하는 형태로, 보안전문가는 취약점 분석 환경이 구성된 가상 환경(VDI)에 접근해 취약점 분석을 진행하는 방식이다.
24일부터 본격 개시되는 ‘사이버보안 취약점 정보포털’ 서비스가 보다 많은 기업들에게 호응을 얻고, 실질적인 도입 효과를 거두기 위해서는 많은 취약점이 발견되고, 패치가 적용되는 일련의 과정이 보다 신속하게 이루어짐으로써 관련 정보들이 해당 포털에 많이 축적돼야 할 것으로 보인다. 이에 정부에서는 버그바운티 제도가 더욱 활성화될 수 있도록 다양한 방안을 마련해서 홍보하고 기업들에게 제안할 필요가 있다.
[권 준 기자(editor@boannews.com)]
보안 취약점에 대응하는 가장 좋은 수단, 버그바운티 프로그램
KISA 운영 보안 취약점 신고포상제에 국내 기업 21곳 참여
‘보안 취약점 정보 포털’ 활성화 위해 기업 버그바운티 참여 확대방안 고민해야
[보안뉴스 권 준 기자] 사이버위협의 주요 요인이 되고 있는 보안 취약점은 무엇보다 신속하게 발견하여 조치하는 것이 중요하다. 이에 정부는 국가 차원에서 국내·외 보안 취약점을 체계적으로 수집·관리하고 수집된 정보를 다양한 이용자가 편리하게 확인·개선할 수 있도록 하는 ‘사이버보안 취약점 정보포털’ 서비스를 24일부터 본격 개시한다고 밝혔다. 이러한 가운데 보안 취약점을 발견해 신고할 경우 포상을 하는 ‘보안 취약점 신고포상제’ 이른바 버그바운티(Bugbounty) 제도의 중요성이 더욱 커지고 있다.
[이미지=utoimage]
한국인터넷진흥원(KISA)가 CVE Details 자료를 분석한 결과에 따르면 매년 신규 취약점 건수는 증가하고 있으며, 2021년은 총 20,142건으로 전년대비 약 10% 증가한 것으로 나타났다. 이는 코로나19 사태로 급속화된 디지털 대전환과 메타버스, NFT, AI 등 신기술이 계속 등장한 데 따른 것으로 보인다.
이러한 취약점에 대응하는 가장 좋은 수단 가운데 하나인 버그바운티 프로그램은 하드웨어, 소프트웨어, 웹 서비스 등 지정된 프로그램의 보안 취약점을 찾아낸 사람에게 취약점의 파급도에 따라 포상금을 지급하는 제도라고 할 수 있다. 취약점을 찾아내는 보안전문가는 개인 역량과 인지도가 상승함과 동시에 포상금으로 금전적 이득을 얻을 수 있으며, 버그바운티에 참여하는 기업의 경우 보안 취약점 패치로 인해 보안 위협에 신속히 대응할 수 있고, 정보보호 비용 예산을 절감하는 동시에 소프트웨어 및 서비스 품질을 향상시킬 수 있다.
▲연도별 취약점(CVE) 건수[자료=CVE Details]
버그바운티 프로그램을 운영하면 조직 내부적으로 보안 인력을 통해 점검하는 것과 비교해 심각도가 높은 취약점을 발견하는데 7배 이상 도움이 된다는 분석 결과도 있다. 기업 자체적인 모의점검의 경우 일회성이고 한정적이며 취약점을 점검하는 테스터가 제한적인 데 비해, 버그바운티는 지속적이고 다면적이며 테스터가 많이 참여할 수 있기 때문이다. 물론 모의점검도 체계적으로 다양한 테스트 옵션을 사용해서 진행할 수 있고, 취약점 보고 이후 작업 및 관리까지 가능하기 때문에 일정 규모 이상이 되는 기업은 가급적이면 버그바운티와 모의점검을 함께 시행하는 것이 가장 효율적인 방법이라고 KISA 측은 설명하고 있다.
이러한 버그바운티 프로그램은 KISA에서 운영하는 보안 취약점 신고포상제가 대표적이다. 이 제도는 국내에서 사용 중인 소프트웨어를 대상으로 분기별 우수 취약점을 선정해 평가 결과에 따라 최대 1,000만원의 포상금을 지급하는 제도로, 국내외에 거주하는 한국인을 참가대상으로 하고 있으며, 분기별 평가를 실시해 3월, 6월, 9월, 12월에 각각 포상금을 지급하고 있다.
다만, 웹 사이트 등 실제 운영 중인 서비스의 경우 사전에 대상과 시기를 정해 한시적으로 취약점 발굴을 허용하는 ‘핵 더 챌린지(Hack the Challenge)’로 운영되고 있다. 실제 운영 중인 서비스에서 동의 없이 취약점을 발굴하는 행위는 정보통신망법에 의거해 정보통신망 침입 행위로 간주되기 때문이다.
그럼 각 기업에서 버그 바운티를 운영하려면 어떻게 해야 할까? 먼저 버그바운티를 허용하는 대상 범위 또는 제품을 선정해야 한다. 이어 1년 간 사용을 계획해 예산을 마련해야 하며, 취약점별로 포상기준을 마련할 필요가 있다. 또한, 취약점을 신고받는 웹페이지를 운영하는 등 취약점 입수체계를 구축하고, 신고된 취약점을 검증하고 평가하며 예산 지급을 진행할 역할을 분담해야 한다.
그러나 기업이 자체적으로 버그바운티를 운영하는 데 어려움을 느낀다면 KISA가 진행하는 신고포상제에 공동운영사로 참여할 수 있다. 자사 소프트웨어 또는 서비스를 취약점 발굴 대상으로 제공하거나 포상금을 신고자에게 직접 지급함으로써 취약점에 대한 책임 있는 역할을 수행할 수 있는 공동운영사는 자체 버그바운티의 단계적 도입을 위한 지원방안으로 활용할 수 있고, 보안 취약점을 빨리 알아내고 신속히 조치함으로써 보안사고 예방에도 큰 효과를 거둘 수 있다.
현재 KISA의 보안 취약점 신고포상제에 공동운영사로 참여하고 있는 기업은 총 21곳으로 2021년 삼성SDS와 현대차, 기아차가 신규로 협약을 맺었다. △2014년 한글과컴퓨터를 시작으로 △2015년 네이버가 참여했으며, △2016년 카카오, 네오위즈게임즈 △2017년 이스트시큐리티, 이니텍, LG전자, 지니언스, 카카오뱅크, 안랩, 잉카인터넷 △2018년 하우리, 엑스블록시스템즈, 보스코인, 글로스퍼 △2019년 에스지에이솔루션즈, 소테리아, 휴네시온 △2020년 지그재그, 케이비전, 지란지교시큐리티 등이 참여하고 있는 상황이다. 이 가운데 네이버는 2019년 3분기부터 공동운영사의 독립 자체 운영 방식을 취하고 있으며, 카카오도 독립 운영을 준비 중인 것으로 알려졌다.
이와 함께 KISA는 한시적으로 참여 기업이 필요한 제품 또는 서비스를 선정해 취약점 발굴을 허용하고 포상금을 지급하는 ‘핵 더 챌린지’ 제도를 2018년부터 운영 중이다. 2018년에는 KISA가 단독으로 진행한 반면, 지난해는 8개 기업이 참가하는 등 개방형 보안 취약점 분석 플랫폼을 도입해 참여 기관과 분야가 점차 확대되고 있는 추세다. 개방형 보안 취약점 분석 플랫폼은 클라우드 형태의 서버를 제공해 분석 대상 소프트웨어 및 서비스를 사전 설치한 후 보안전문가에게 개방하는 형태로, 보안전문가는 취약점 분석 환경이 구성된 가상 환경(VDI)에 접근해 취약점 분석을 진행하는 방식이다.
24일부터 본격 개시되는 ‘사이버보안 취약점 정보포털’ 서비스가 보다 많은 기업들에게 호응을 얻고, 실질적인 도입 효과를 거두기 위해서는 많은 취약점이 발견되고, 패치가 적용되는 일련의 과정이 보다 신속하게 이루어짐으로써 관련 정보들이 해당 포털에 많이 축적돼야 할 것으로 보인다. 이에 정부에서는 버그바운티 제도가 더욱 활성화될 수 있도록 다양한 방안을 마련해서 홍보하고 기업들에게 제안할 필요가 있다.
[권 준 기자(editor@boannews.com)]
<저작권자: 보안뉴스(www.boannews.com) 무단전재-재배포금지>
 th.jpg)
.jpg){kind=small}
.jpg){kind=small}
.jpg){kind=small}
.jpg){kind=small}
.JPG){kind=small}
.jpg){kind=small}
.jpg){kind=small}
.jpg){kind=small}
.jpg){kind=small}
.jpg){kind=small}
.jpg){kind=small}
