보안 제품들, 한 번 공격당하면 시스템 구석구석 노출시켜
카스퍼스키 “보다 많은 보안 업체들이 버그바운티 했으면...”
[보안뉴스 문가용] 보안 소프트웨어 전문업체들도 해킹을 당하고 버그를 패치하고, 버그바운티를 운영해 외부 보안 전문가들의 도움을 받는다. 카스퍼스키도 이제 그 중 하나가 되었다. 최근 해커원(HackerOne)과 함께 5만 달러 규모의 버그바운티를 새롭게 시작한 것이다.
▲ 나 먼저 간다. 따라 올거지?
버그바운티의 대상이 되는 건 카스퍼스키의 제품인 Kaspersky Internet Security와 Kaspersky Endpoint Security이다. 오늘부터 시작하며 6개월 동안 진행된다. 추가적인 카스퍼스키 소프트웨어 제품들에도 버그바운티가 앞으로 적용될 예정이라고 하지만 아직 구체적인 계획은 없는 상태다.
보안 솔루션이라고 해서 취약점이 없는 건 아니다. 시만텍, 맥아피, 카스퍼스키, 트렌드마이크로의 내로라하는 제품 및 솔루션들에서도 취약점이 발견된 바 있다. 카스퍼스키의 경우 작년 가을 구글의 타비스 오만드(Tavis Ormand)가 발견한 취약점들을 다량으로 패치한 경험이 있다.
게다가 다크웹의 암시장에서 보안 솔루션들의 취약점이 인기리에 팔리고 있다는 주장도 있다. 타비스 오만드도 작년 가을 카스퍼스키 제품의 취약점을 보고하며, “현재 암시장에서 백신 제품들의 취약점에 대한 인기가 점점 올라가고 있다”고 밝힌 바 있다. “보안 솔루션은 쉽게 공격이 가능하며, 또한 한 번 성공했을 때 보상이 매우 큽니다. 보안 솔루션을 통하면 시스템의 구석구석이 노출되거든요.”
“사실 카스퍼스키 내부에서 사원들을 대상으로 한 즉석 버그바운티 프로그램이 진행된 적이 있습니다. 이번 버그바운티는 그 즉석 프로그램이 확장된 것이라고 볼 수 있습니다.” 카스퍼스키 국제부장인 라이언 나레인(Ryan Naraine)의 설명이다. “카스퍼스키로서는 한 번도 진행해보지 않은 것이라 걱정되는 부분도 있긴 하지만, 사실 내부적으로 진행해본 경험이 있어서 필요한 인프라 및 프로세스는 갖추고 있습니다.”
나레인은 “좀 더 많은 보안 업체들이 버그바운티를 실시했으면 좋겠다”고 말한다. “누군가를 지키는 안전요원이 비실비실해서 뭘 지킬 수 있겠습니까. 보안 전문업체가 만든 소프트웨어가 그 어떤 소프트웨어보다 튼튼해야 합니다. 다른 종류의 소프트웨어보다 더 안전해야 할 책임을 가지고 있는 것이죠. 1년 후에는 ‘보안 업체가 버그바운티를 시작한다’는 게 뉴스거리가 아니었으면 좋겠습니다.”
해커원의 CTO인 알렉스 라이스(Alex Rice)는 “카스퍼스키만큼 보안 커뮤니티에 잘 알려진 기업이 없을 정도로 역사도 길고 실력도 좋은 업체가 앞장서서 버그바운티를 실시한 것이 고무적”이라며 “이를 계기로 보안 솔루션들이 보다 튼튼해지길 바란다”고 밝혔다.
Copyrighted 2015. UBM-Tech. 117153:0515BC
[국제부 문가용 기자(globoan@boannews.com)]
카스퍼스키 “보다 많은 보안 업체들이 버그바운티 했으면...”
[보안뉴스 문가용] 보안 소프트웨어 전문업체들도 해킹을 당하고 버그를 패치하고, 버그바운티를 운영해 외부 보안 전문가들의 도움을 받는다. 카스퍼스키도 이제 그 중 하나가 되었다. 최근 해커원(HackerOne)과 함께 5만 달러 규모의 버그바운티를 새롭게 시작한 것이다.
▲ 나 먼저 간다. 따라 올거지?
버그바운티의 대상이 되는 건 카스퍼스키의 제품인 Kaspersky Internet Security와 Kaspersky Endpoint Security이다. 오늘부터 시작하며 6개월 동안 진행된다. 추가적인 카스퍼스키 소프트웨어 제품들에도 버그바운티가 앞으로 적용될 예정이라고 하지만 아직 구체적인 계획은 없는 상태다.
보안 솔루션이라고 해서 취약점이 없는 건 아니다. 시만텍, 맥아피, 카스퍼스키, 트렌드마이크로의 내로라하는 제품 및 솔루션들에서도 취약점이 발견된 바 있다. 카스퍼스키의 경우 작년 가을 구글의 타비스 오만드(Tavis Ormand)가 발견한 취약점들을 다량으로 패치한 경험이 있다.
게다가 다크웹의 암시장에서 보안 솔루션들의 취약점이 인기리에 팔리고 있다는 주장도 있다. 타비스 오만드도 작년 가을 카스퍼스키 제품의 취약점을 보고하며, “현재 암시장에서 백신 제품들의 취약점에 대한 인기가 점점 올라가고 있다”고 밝힌 바 있다. “보안 솔루션은 쉽게 공격이 가능하며, 또한 한 번 성공했을 때 보상이 매우 큽니다. 보안 솔루션을 통하면 시스템의 구석구석이 노출되거든요.”
“사실 카스퍼스키 내부에서 사원들을 대상으로 한 즉석 버그바운티 프로그램이 진행된 적이 있습니다. 이번 버그바운티는 그 즉석 프로그램이 확장된 것이라고 볼 수 있습니다.” 카스퍼스키 국제부장인 라이언 나레인(Ryan Naraine)의 설명이다. “카스퍼스키로서는 한 번도 진행해보지 않은 것이라 걱정되는 부분도 있긴 하지만, 사실 내부적으로 진행해본 경험이 있어서 필요한 인프라 및 프로세스는 갖추고 있습니다.”
나레인은 “좀 더 많은 보안 업체들이 버그바운티를 실시했으면 좋겠다”고 말한다. “누군가를 지키는 안전요원이 비실비실해서 뭘 지킬 수 있겠습니까. 보안 전문업체가 만든 소프트웨어가 그 어떤 소프트웨어보다 튼튼해야 합니다. 다른 종류의 소프트웨어보다 더 안전해야 할 책임을 가지고 있는 것이죠. 1년 후에는 ‘보안 업체가 버그바운티를 시작한다’는 게 뉴스거리가 아니었으면 좋겠습니다.”
해커원의 CTO인 알렉스 라이스(Alex Rice)는 “카스퍼스키만큼 보안 커뮤니티에 잘 알려진 기업이 없을 정도로 역사도 길고 실력도 좋은 업체가 앞장서서 버그바운티를 실시한 것이 고무적”이라며 “이를 계기로 보안 솔루션들이 보다 튼튼해지길 바란다”고 밝혔다.
Copyrighted 2015. UBM-Tech. 117153:0515BC
[국제부 문가용 기자(globoan@boannews.com)]
<저작권자: 보안뉴스(www.boannews.com) 무단전재-재배포금지>
.jpg){kind=small}
.jpg){kind=small}
.jpg){kind=small}
.jpg){kind=small}
.jpg){kind=small}
.JPG){kind=small}
.jpg){kind=small}
.jpg){kind=small}
.jpg){kind=small}
.jpg){kind=small}
.jpg){kind=small}
