.jpg)
.gif)
실험적이고 반만 열린 버그바운티 시작... 대학교 중에서는 처음
IT 기업들에게만 국한되어 있던 버그바운티, 여러 산업으로 확산
[보안뉴스 문가용] 매우 위험할 수 있는 보안 취약점을 발견하는 데에 있어 버그바운티가 꽤나 효과적이라는 것이 점점 중론이 되어가고 있다. 그래서 그런지 소프트웨어 및 IT 기술 기업들이 주로 시행해오던 것이 점점 다른 산업으로도 확산되고 있다.
기술, 혁신, 엔지니어링 등으로 유명한 MIT 대학 역시 그런 이점을 누려보겠다고 나섰다. 학계에선 사상 최초로 버그바운티를 시작한 것. 물론 실험적인 것이라 일반 대중들에게 전부 공개된 건 아니다. MIT와 연관이 있는 파트너사나 계열 기관 등에 소속된 사람들과 학사 및 석사 학생들만 참여가 가능하다. 버그바운티 연구 대상은 MIT의 서비스와 물품 등을 이용, 구매할 수 있는 테크캐시(TechCASH). 보상안 중에는 MIT 이메일 계정도 포함되어 있어 흥미롭다.
이번 버그바운티에 참여하는 사람들은 발견한 버그에 대한 조치가 취해질 때까지 공개를 하지 못하도록 되어 있다. 또한 테크캐시 서비스를 지연시키거나 중단시킬 위험이 있는 스캐닝 및 실험 행위는 전부 금지된다. 하지만 그 외에는 자유롭게 버그를 사냥할 수 있다고 MIT는 밝혔다. 버그바운티 참여자들이 접근할 수 있는 건 학생 정보 시스템 도메인, 관리자 시스템 허브, MIT 강의 관리 시스템이다.
버그바운티 프로그램의 대상이 테크캐시라고는 하지만 버그를 찾는 과정 중에 발견된 다른 취약점들도 대학 측에 자유롭게 보고하라고 권장하고 있다. 하지만 MIT가 가장 큰 관심을 보이고 있는 건 SQL 인젝션 관련 오류, 원격 코드 실행 취약점, 권한 상승 및 사용자 인증 시스템 우회 취약점이다. 일반 기업 및 사용자 사이에서 오랜 기간 골칫거리로 알려져 온 CSRF 취약점과 XSS 취약점 역시 대학 측이 주요하게 생각하고 있는 것들이라고 한다.
반대로 대학 측이 보고를 원치 않는 취약점들도 있다. 위협 잠재력이 낮은 취약점 혹은 실행 가능성이 거의 없다시피 한 취약점들이다. 또한 DoS 공격, 소셜 엔지니어링 공격, 물리 공격과 관계된 취약점들도 받아들이지 않겠다고 MIT는 발표했다. 그 밖에 물리적으로 접근이 가능해야만 성립되는 취약점이나 로컬에서만 익스플로잇이 가능한 취약점 역시 금지목록에 올라와있다.
버그바운티의 인기가 높아지고 있는 건 해킹 기술을 가진 사람들에게 다른 경로의 수익을 제공해주는 것이기 때문이다. 현재 취약점을 사들이고 있는 부류들은 악성 해커 및 범죄자들이거나 잘 해봐야 그레이 해커들이다. 사람은 자기가 가진 기술을 가지고 수입을 얻을 수 있는 쪽으로 기울기 마련인데, 버그바운티를 실시함으로써 범죄의 길로 들어설 수 있는 가능성을 줄인다는 의미도 있다는 것이다.
현재 버그크라우드(Bugcrowd)라는 보안 커뮤니티에 올라온 것만 집계해봐도 현재 진행되고 있는 버그바운티 프로그램은 450개가 넘는다. 주체는 대부분 소프트웨어 및 IT 기업들이다. 하지만 분명히 그 밖의 산업들에서 진행하는 버그바운티 프로그램도 적지 않은 수를 차지하고 있다. 유나이티드항공사, 전자프런티어재단, 스타벅스, 우버 등도 여기에 이름을 올리고 있다. 특히 애플리케이션을 제작해 운영하는 우버는 올해 초 최대 1만 달러까지 포상하겠다는 버그바운티 계획을 발표한 바 있다.
Copyrighted 2015. UBM-Tech. 117153:0515BC
[국제부 문가용 기자(globoan@boannews.com)]
IT 기업들에게만 국한되어 있던 버그바운티, 여러 산업으로 확산
[보안뉴스 문가용] 매우 위험할 수 있는 보안 취약점을 발견하는 데에 있어 버그바운티가 꽤나 효과적이라는 것이 점점 중론이 되어가고 있다. 그래서 그런지 소프트웨어 및 IT 기술 기업들이 주로 시행해오던 것이 점점 다른 산업으로도 확산되고 있다.
기술, 혁신, 엔지니어링 등으로 유명한 MIT 대학 역시 그런 이점을 누려보겠다고 나섰다. 학계에선 사상 최초로 버그바운티를 시작한 것. 물론 실험적인 것이라 일반 대중들에게 전부 공개된 건 아니다. MIT와 연관이 있는 파트너사나 계열 기관 등에 소속된 사람들과 학사 및 석사 학생들만 참여가 가능하다. 버그바운티 연구 대상은 MIT의 서비스와 물품 등을 이용, 구매할 수 있는 테크캐시(TechCASH). 보상안 중에는 MIT 이메일 계정도 포함되어 있어 흥미롭다.
이번 버그바운티에 참여하는 사람들은 발견한 버그에 대한 조치가 취해질 때까지 공개를 하지 못하도록 되어 있다. 또한 테크캐시 서비스를 지연시키거나 중단시킬 위험이 있는 스캐닝 및 실험 행위는 전부 금지된다. 하지만 그 외에는 자유롭게 버그를 사냥할 수 있다고 MIT는 밝혔다. 버그바운티 참여자들이 접근할 수 있는 건 학생 정보 시스템 도메인, 관리자 시스템 허브, MIT 강의 관리 시스템이다.
버그바운티 프로그램의 대상이 테크캐시라고는 하지만 버그를 찾는 과정 중에 발견된 다른 취약점들도 대학 측에 자유롭게 보고하라고 권장하고 있다. 하지만 MIT가 가장 큰 관심을 보이고 있는 건 SQL 인젝션 관련 오류, 원격 코드 실행 취약점, 권한 상승 및 사용자 인증 시스템 우회 취약점이다. 일반 기업 및 사용자 사이에서 오랜 기간 골칫거리로 알려져 온 CSRF 취약점과 XSS 취약점 역시 대학 측이 주요하게 생각하고 있는 것들이라고 한다.
반대로 대학 측이 보고를 원치 않는 취약점들도 있다. 위협 잠재력이 낮은 취약점 혹은 실행 가능성이 거의 없다시피 한 취약점들이다. 또한 DoS 공격, 소셜 엔지니어링 공격, 물리 공격과 관계된 취약점들도 받아들이지 않겠다고 MIT는 발표했다. 그 밖에 물리적으로 접근이 가능해야만 성립되는 취약점이나 로컬에서만 익스플로잇이 가능한 취약점 역시 금지목록에 올라와있다.
버그바운티의 인기가 높아지고 있는 건 해킹 기술을 가진 사람들에게 다른 경로의 수익을 제공해주는 것이기 때문이다. 현재 취약점을 사들이고 있는 부류들은 악성 해커 및 범죄자들이거나 잘 해봐야 그레이 해커들이다. 사람은 자기가 가진 기술을 가지고 수입을 얻을 수 있는 쪽으로 기울기 마련인데, 버그바운티를 실시함으로써 범죄의 길로 들어설 수 있는 가능성을 줄인다는 의미도 있다는 것이다.
현재 버그크라우드(Bugcrowd)라는 보안 커뮤니티에 올라온 것만 집계해봐도 현재 진행되고 있는 버그바운티 프로그램은 450개가 넘는다. 주체는 대부분 소프트웨어 및 IT 기업들이다. 하지만 분명히 그 밖의 산업들에서 진행하는 버그바운티 프로그램도 적지 않은 수를 차지하고 있다. 유나이티드항공사, 전자프런티어재단, 스타벅스, 우버 등도 여기에 이름을 올리고 있다. 특히 애플리케이션을 제작해 운영하는 우버는 올해 초 최대 1만 달러까지 포상하겠다는 버그바운티 계획을 발표한 바 있다.
Copyrighted 2015. UBM-Tech. 117153:0515BC
[국제부 문가용 기자(globoan@boannews.com)]
<저작권자: 보안뉴스(www.boannews.com) 무단전재-재배포금지>
.jpg)
.jpg)
.jpg)
.jpg)
.jpg)
.jpg){kind=small}
.jpg){kind=small}
.jpg){kind=small}
.jpg){kind=small}
.jpg){kind=small}
.jpg){kind=small}
.jpg){kind=small}
.jpg){kind=small}
.jpg){kind=small}
.jpg){kind=small}
.jpg){kind=small}
.jpg){kind=small}
.jpg){kind=small}
.JPG){kind=small}
.jpg)