대기업들과 버그바운티 진행해본 해커원, 선별 및 심사 도울 듯


[보안뉴스 문가용] 미국 국방부가 사상 첫 버그바운티 프로그램인 ‘국방부를 뚫어봐(Hack the Pentagon)’을 진행할 것이라는 예고가 한 달 전 RSA에서 있었다. 그 후 국방부는 버그바운티 프로그램 진행을 외주업체에게 맡긴다고 발표하며 유명 버그바운티 플랫폼인 해커원(HackerOne)을 지목했다.

‘국방부를 뚫어봐’ 버그바운티 프로그램은 4월 18일부터 5월 12일까지 진행될 예정이며 국방부가 운영하는 공개 웹 사이트들을 보다 안전하게 보강하기 위한 노력의 일환이다. 또한 국방부가 버그바운티의 대상인만큼 완전히 공개된 프로그램이 아니라 사전에 참가 신청을 받고, 그 중 일부를 선별하여 진행된다.

해커원이 맡은 임무는 지원자들 중 참가 자격이 있는 사람들을 선별하는 것으로 국방부는 “해커원의 플랫폼 아니라 그동안 해커원이 화이트 해커들과 구축해온 신뢰관계를 함께 빌려오고 싶었다”고 설명했다. 해커원은 페이스북, 마이크로소프트 등의 대형 기업들의 버그바운티를 대행해 온 경험을 보유하고 있기도 하다.

또한 국방이나 국가 기밀과 연관이 있는 시스템은 이번 버그바운티 프로그램에서 제외될 예정이다. 참가자들은 그 외 시스템 및 서비스 등에서 발견된 취약점을 캐내게 될 것이며 총 상금 15만 달러가 발견한 취약점에 따라 지급될 것이라고 한다. “국방부의 웹 서비스 및 아키텍처 전반의 보안 취약성을 꼬집고 싶다면, 참가하시기 바랍니다.” 국방부의 설명이다.

이번 버그바운티 프로그램을 통해 애플과 FBI의 공방으로 멀어진 민간 부문과 정부 기관의 사이가 다시 회복될 수 있을지도 관심의 대상이다.
Copyrighted 2015. UBM-Tech. 117153:0515BC
[국제부 문가용 기자(globoan@boannews.com)]

<저작권자: 보안뉴스(www.boannews.com) 무단전재-재배포금지>