.gif)
버그바운티 시장 꾸준한 확대 추세... 풀타임 사냥꾼도 생기고 있어
가장 많이 발견된 취약점은 XSS... 침투 테스트보다 효율 높아
[보안뉴스 문가용] 버그바운티를 도입하는 기업과 기관들이 점점 늘어남에 따라 ‘슈퍼 헌터(super hunter)’라는 이들이 떠오르고 있다. 버그바운티를 노리는 ‘현상금 사냥꾼’들 중에서도 굉장히 높은 수익을 올리는 이들로, 수백~수천 달러의 상금을 거의 매번 타가는 데에 성공한다. 자연히 기업들 눈에 이런 슈퍼 헌터들이 들어오게끔 되어 있고, 기관 및 기업들은 이들을 노리고 영입전쟁마저 벌이고 있다고 한다.
.jpg)
현재 슈퍼 헌터들은 모두 절정의 때를 맞이하고 있다. 버그바운티 프로그램들이 앞 다투어 발생하는 통에 그 어느 때보다 높은 수익을 올리고 있는 것. “슈퍼 헌터들은 기술적으로나 지식적으로 대단히 뛰어난 인재들인 경우가 많다”고 슈퍼 헌터들을 조사한 버그크라우드(Bugcrowd)의 조나단 크랜(Jonathan Cran) 부회장은 설명한다. “단순 해킹 기술뿐 아니라 산업 전반에 대한 흐름도 깊이 파악하고 있습니다. 인프라 구조와 애플리케이션들에 대한 지식도 방대하고요.”
원래 버그바운티만으로는 생계유지가 불가능한 게 보통이었다. 보안 전문가들에게 있어 버그바운티는 연휴 때 가끔 나눠주는 보너스 정도에 불과했다. 하지만 페이스북, 구글, 야후와 같은 IT 거인들이 버그바운티를 시작하고 실제로 약 1천만 달러를 버그바운티에 투자하는 등 시장 규모를 확 늘려버리면서 ‘현상금 사냥꾼’들이 생겨나기 시작했다.
하지만 아직 보안 전문가들 대다수(85%)는 버그바운티 참가를 주요 생계수단으로 삼고 있지 않다. 취미로, 혹은 흥미해소, 자기계발을 위해 파트타임으로 버그바운티에 참가한다. 70%는 버그바운티에 투자하는 시간이 일주일에 10시간도 되지 않는다. 그러나 버그바운티 자체의 성과가 좋기 때문에 기업들은 계속해서 상금을 늘리고 프로그램을 확대하고 있다.
버그크라우드에 등록된 버그바운티 프로그램의 평균 상금액은 2014년 200.81 달러였으나 한 해만에 294.70 달러로 47%나 증가했다. 2016년 1사분기만 집계한 결과 평균 상금은 505.79 달러로 한층 더 높아졌다. 따라서 파트타임이건 풀타임이건 정보보안 종사자들에게는 활동 무대가 하나 더 생긴 셈이다.
이렇게 버그바운티라는 새로운 ‘정보보안 놀이터’에 적극 뛰어들고 있는 보안 전문가들의 연령층은 어떻게 될까? 75%가 18~29세 사이의 젊은 층들이다. 그 다음으로는 30~44세가 많아 전체 19%를 형성하고 있다. 또한 88%는 대학과정을 최소 1년 이상 수료한 이들이며, 55%는 학사 및 석사 학위를 보유하고 있는 것으로 나타났다. 고등과정을 수료한 사람은 100%다.
현재 버그바운티 프로그램은 산업을 가리지 않고 활발히 도입되고 있는 중이다. “버그바운티가 돈 많은 기업들이 사회 환원 차원에서 혹은 복지 차원에서 진행되는 게 아니라 정식 보안 평가 측정의 수단으로서 정착되어 가고 있는 분위기입니다. 5년 전만 해도 버그바운티가 매우 생경한 개념의 프로젝트였어요. 그런데 지금은 정부기관과 대학기관에서도 버그바운티를 할 정도로 확산됐죠.”
실제로 지난 3년 간 진행된 300여 개의 버그바운티 프로그램(버그크라우드 기준) 대부분은 IT 업계 내에서 진행된 것이었다. “그러나 현재는 IT 외 분야에서 진행되는 버그바운티 프로그램이 25%로까지 성장했습니다. 특히 금융 및 은행 관련 버그바운티가 많이 늘었어요.” 그러나 여전히 가장 많은 버그바운티를 진행하는 업체는 소프트웨어 회사와 인터넷 회사다. 금융계와 은행권이 그 뒤를 바짝 쫓고 있으며 IT, 컴퓨터, 네트워크 보안, 전자상거래, 도소매가 차례로 다음 자리들을 꿰찼다.
또한 버그바운티를 진행하는 기업들 대부분(44%)이 5000명 이상의 직원 수를 보유한 것으로 나타났다. 버그바운티를 공개적으로 진행하고자하는 기업들 중 대부분은 초대형식으로 한정된 버그바운티로 시작한다. 3월 31일까지 버그크라우드에서 진행된 버그바운티 프로그램 의 63%가 비공개로 진행되었다가 공개형으로 변환된 것이다.
그렇다면 버그바운티를 통해 가장 많이 발견되는 취약점은 무엇일까? XSS가 압도적이다. 전체 취약점 중 무려 66%나 차지하고 있는 것. 2위는 CSRF 취약점이다.
버그바운티를 침투 테스트와 비교하는 이들이 많다. 하지만 둘이 완전히 일치하지는 않는다. “가장 큰 차이점은 참여하는 전문가들의 수에 있습니다. 보상 금액도 차원이 다르고요. 더 많은 전문가들이 더 많은 돈을 받기 위해 경쟁적으로 뛰어드니 성과도 더 좋습니다.”
Copyrighted 2015. UBM-Tech. 117153:0515BC
[국제부 문가용 기자(globoan@boannews.com)]
가장 많이 발견된 취약점은 XSS... 침투 테스트보다 효율 높아
[보안뉴스 문가용] 버그바운티를 도입하는 기업과 기관들이 점점 늘어남에 따라 ‘슈퍼 헌터(super hunter)’라는 이들이 떠오르고 있다. 버그바운티를 노리는 ‘현상금 사냥꾼’들 중에서도 굉장히 높은 수익을 올리는 이들로, 수백~수천 달러의 상금을 거의 매번 타가는 데에 성공한다. 자연히 기업들 눈에 이런 슈퍼 헌터들이 들어오게끔 되어 있고, 기관 및 기업들은 이들을 노리고 영입전쟁마저 벌이고 있다고 한다.
현재 슈퍼 헌터들은 모두 절정의 때를 맞이하고 있다. 버그바운티 프로그램들이 앞 다투어 발생하는 통에 그 어느 때보다 높은 수익을 올리고 있는 것. “슈퍼 헌터들은 기술적으로나 지식적으로 대단히 뛰어난 인재들인 경우가 많다”고 슈퍼 헌터들을 조사한 버그크라우드(Bugcrowd)의 조나단 크랜(Jonathan Cran) 부회장은 설명한다. “단순 해킹 기술뿐 아니라 산업 전반에 대한 흐름도 깊이 파악하고 있습니다. 인프라 구조와 애플리케이션들에 대한 지식도 방대하고요.”
원래 버그바운티만으로는 생계유지가 불가능한 게 보통이었다. 보안 전문가들에게 있어 버그바운티는 연휴 때 가끔 나눠주는 보너스 정도에 불과했다. 하지만 페이스북, 구글, 야후와 같은 IT 거인들이 버그바운티를 시작하고 실제로 약 1천만 달러를 버그바운티에 투자하는 등 시장 규모를 확 늘려버리면서 ‘현상금 사냥꾼’들이 생겨나기 시작했다.
하지만 아직 보안 전문가들 대다수(85%)는 버그바운티 참가를 주요 생계수단으로 삼고 있지 않다. 취미로, 혹은 흥미해소, 자기계발을 위해 파트타임으로 버그바운티에 참가한다. 70%는 버그바운티에 투자하는 시간이 일주일에 10시간도 되지 않는다. 그러나 버그바운티 자체의 성과가 좋기 때문에 기업들은 계속해서 상금을 늘리고 프로그램을 확대하고 있다.
버그크라우드에 등록된 버그바운티 프로그램의 평균 상금액은 2014년 200.81 달러였으나 한 해만에 294.70 달러로 47%나 증가했다. 2016년 1사분기만 집계한 결과 평균 상금은 505.79 달러로 한층 더 높아졌다. 따라서 파트타임이건 풀타임이건 정보보안 종사자들에게는 활동 무대가 하나 더 생긴 셈이다.
이렇게 버그바운티라는 새로운 ‘정보보안 놀이터’에 적극 뛰어들고 있는 보안 전문가들의 연령층은 어떻게 될까? 75%가 18~29세 사이의 젊은 층들이다. 그 다음으로는 30~44세가 많아 전체 19%를 형성하고 있다. 또한 88%는 대학과정을 최소 1년 이상 수료한 이들이며, 55%는 학사 및 석사 학위를 보유하고 있는 것으로 나타났다. 고등과정을 수료한 사람은 100%다.
현재 버그바운티 프로그램은 산업을 가리지 않고 활발히 도입되고 있는 중이다. “버그바운티가 돈 많은 기업들이 사회 환원 차원에서 혹은 복지 차원에서 진행되는 게 아니라 정식 보안 평가 측정의 수단으로서 정착되어 가고 있는 분위기입니다. 5년 전만 해도 버그바운티가 매우 생경한 개념의 프로젝트였어요. 그런데 지금은 정부기관과 대학기관에서도 버그바운티를 할 정도로 확산됐죠.”
실제로 지난 3년 간 진행된 300여 개의 버그바운티 프로그램(버그크라우드 기준) 대부분은 IT 업계 내에서 진행된 것이었다. “그러나 현재는 IT 외 분야에서 진행되는 버그바운티 프로그램이 25%로까지 성장했습니다. 특히 금융 및 은행 관련 버그바운티가 많이 늘었어요.” 그러나 여전히 가장 많은 버그바운티를 진행하는 업체는 소프트웨어 회사와 인터넷 회사다. 금융계와 은행권이 그 뒤를 바짝 쫓고 있으며 IT, 컴퓨터, 네트워크 보안, 전자상거래, 도소매가 차례로 다음 자리들을 꿰찼다.
또한 버그바운티를 진행하는 기업들 대부분(44%)이 5000명 이상의 직원 수를 보유한 것으로 나타났다. 버그바운티를 공개적으로 진행하고자하는 기업들 중 대부분은 초대형식으로 한정된 버그바운티로 시작한다. 3월 31일까지 버그크라우드에서 진행된 버그바운티 프로그램 의 63%가 비공개로 진행되었다가 공개형으로 변환된 것이다.
그렇다면 버그바운티를 통해 가장 많이 발견되는 취약점은 무엇일까? XSS가 압도적이다. 전체 취약점 중 무려 66%나 차지하고 있는 것. 2위는 CSRF 취약점이다.
버그바운티를 침투 테스트와 비교하는 이들이 많다. 하지만 둘이 완전히 일치하지는 않는다. “가장 큰 차이점은 참여하는 전문가들의 수에 있습니다. 보상 금액도 차원이 다르고요. 더 많은 전문가들이 더 많은 돈을 받기 위해 경쟁적으로 뛰어드니 성과도 더 좋습니다.”
Copyrighted 2015. UBM-Tech. 117153:0515BC
[국제부 문가용 기자(globoan@boannews.com)]
<저작권자: 보안뉴스(www.boannews.com) 무단전재-재배포금지>
.jpg)
.jpg){kind=small}
.jpg){kind=small}
.jpg){kind=small}
.jpg){kind=small}
.jpg){kind=small}
.JPG){kind=small}
.jpg){kind=small}
.jpg){kind=small}
.jpg){kind=small}
.jpg){kind=small}
.jpg){kind=small}
