.gif)
솔루션 구매 및 전문가 고용보다 저렴한 버그바운티 각광
“기본 보안 점검 및 조치 충실히 취한 기업들에게만 축복, 아니면 낭비”
[보안뉴스 문가용] 버그바운티 프로그램의 장점이 알려지기 시작하면서 업계와 기관의 관심이 달아오르고 있는 중이다. 특히 비교적 저렴한 비용에 다양한 전문가들을 참여시킬 수 있다는 게 큰 장점으로 꼽히고 있다. 하지만 모든 기술과 전략, 프로그램이 다 그렇듯 버그바운티도 철저하게 준비하지 않으면 도리어 위험해질 가능성이 높아진다.
최근 소프트웨어 보안 전문업체인 베라코드(Veracode)가 웨이크필드 리서치(Wakefield Research)와 함께 버그바운티 프로그램에 대한 연구를 실시해 최근 발표했다. 그 결과 취약점을 찾아내기 위해 버그바운티에 주력하는 게 오히려 비용을 높일 수도 있다는 응답을 60% 받았다. IT 업계에서 결정권을 가진 사람들 500명 중 60%가 ‘소프트웨어 개발 단계에서 보안을 강화하는 편이 훨씬 저렴하다’고 답한 것. 그밖에 응답자의 44%는 버그바운티에 1백만 달러 이상을 투자해봤다고 답했으며 80%는 애플리케이션 개발 단계에서부터 보안을 강화하는 조직이 버그바운티에 지출되는 비용도 줄일 수 있다고 밝혔다.
‘대기업’으로 분류되는 기업들은 최근 버그바운티를 의욕적으로 시작하고 있다. 페이스북, 구글, MS, 미국 국방부, 애플까지 이 대열에 합류했다. 위 베라코드의 보고서에 의하면 버그바운티를 시작해봤다는 응답이 36%였고, 그 중 98%는 버그바운티로 찾아낸 버그를 수정할 때가 대부분이라고 답하기도 했다. 아직 버그바운티가 ‘주류’의 반열에까지 오르진 못했지만 그 효과는 일단 높이 사고 있다는 것.
하지만 3/4에 해당하는 응답자가 “너무 버그바운티에만 의존한다”고 답하기도 했다. 또한 500명 거의 전원이 “버그바운티로 찾아낸 취약점들 대부분 미리 내부적으로 발견해 고칠 수 있는 것들이었다”고도 말했다. 버그바운티의 효과가 없진 않지만, 절약할 수 있는 부분이 상당수 존재한다는 것이다.
베라코드의 CTO이자 공동 창립자인 크리스 와이소팔(Chris Wysopal) 역시 개발 단계에서 취약점 발견하는 게 비용면에서는 가장 이상적이라고 말한다. “79%가 개발만 꼼꼼하게 해도 버그바운티 비용이 크게 줄어듭니다. 저만 알고 있는 줄 알았는데, 이번 설문을 보니 모두 다 알고 있더라고요. 그 점이 더 재미있었습니다.”
비용 절감의 요소는 ‘개발 잘 하는 것’ 외에도 더 있다. “그냥 취약점 찾겠다고 버그바운티를 막 시작해서는 안 됩니다. 코딩 단계부터 보안을 강화하는 건 물론, 내부 실험 등을 시작으로 해서 한 번쯤은 보한 강화 절차를 한 번쯤 밟은 후에 시행하는 편이 좋습니다. 버그바운티를 하면 사실상 코드를 모든 사람에게 공개하는 겁니다. 그러니 최소한의 테스트를 거치고 공개하는 편이 안전이라는 측면에서도 더 좋겠죠.”
또한 고치기 쉬운 취약점들도 미리 발견해 냄으로써 쓸데없는 지출을 막을 수도 있다. “버그바운티 시작하기 전에 XSS 취약점이나 SQL 인젝션 취약점을 찾았다면, 이미 적지 않은 돈을 절약한 것입니다. 또 금방 고칠 수 있는 거니 하루빨리 안전해지는 길이기도 하고요. 또한 사업을 진행하는 상황에서 발생하는 행정 논리적인 오류나 인증 관련 문제 역시 이런 내부 검토에서 미리 발견될 수도 있다.
버그바운티 전문가인 케이티 무수리스(Katie Moussouris)는 미국 국방부의 사상 첫 버그바운티의 진행과 자문을 맡은 인물로서, 성급하게 시작한 버그바운티는 오히려 잃을 게 더 많은 프로그램이 되기 십상이라고 강조한다. “버그바운티는 마라톤 같은 겁니다. 이거 미리 훈련하지 않으면 완주는커녕 병원에 실려갑니다. 훈련도 처음부터 40km 뛰는 게 아니라 단거리부터 시작하죠.”
하지만 앱을 하나만 출시한 상태인 작은 스타트업이라면 이렇게까지 철저하게 하지 않아도 된다고 무수리스는 설명한다. “단, 그 하나밖에 없는 앱에 대한 보안 강화 프로그램을 내부적으로도 함께 진행한다는 전제 하에서입니다.”
무수리스는 “비싼 솔루션을 사는 것이나 몸값 높은 전문가 불러서 침투 테스트를 진행하는 것보다 버그바운티가 훨씬 저렴할 수 있고, 그러니 대기업들이 버그바운티를 매력적으로 느끼는 것”이라며 “하지만 기본은 충실히 할 줄 아는 사람들에게만 버그바운티는 축복”이라고 일축한다. “고치기 쉽고 흔한 취약점들만 무수히 나오는 버그바운티 프로그램은 돈 낭비일 뿐만 아니라 망신입니다. 우리 회사는 침투하기 쉬워,라고 온 세상에 광고하는 것이나 다름없죠.”
무수리스는 그래서 버그바운티에 대해 이렇게 결론을 내린다. “버그바운티의 기본 전제조건은, 기본을 반드시 갖추어야 한다는 겁니다. 고기도 먹어본 사람이 먹고, 돈도 써본 사람이 쓸 줄 안다고, 이런 절약의 기회도 평소에 보안을 해본 사람들이 누릴 수 있는 거라는 게 재미있죠. 하지만 사실입니다. 기본기가 없다고 판단된다면, 버그바운티는 추천하지 않습니다.”
Copyrighted 2015. UBM-Tech. 117153:0515BC
[국제부 문가용 기자(globoan@boannews.com)]
“기본 보안 점검 및 조치 충실히 취한 기업들에게만 축복, 아니면 낭비”
[보안뉴스 문가용] 버그바운티 프로그램의 장점이 알려지기 시작하면서 업계와 기관의 관심이 달아오르고 있는 중이다. 특히 비교적 저렴한 비용에 다양한 전문가들을 참여시킬 수 있다는 게 큰 장점으로 꼽히고 있다. 하지만 모든 기술과 전략, 프로그램이 다 그렇듯 버그바운티도 철저하게 준비하지 않으면 도리어 위험해질 가능성이 높아진다.
최근 소프트웨어 보안 전문업체인 베라코드(Veracode)가 웨이크필드 리서치(Wakefield Research)와 함께 버그바운티 프로그램에 대한 연구를 실시해 최근 발표했다. 그 결과 취약점을 찾아내기 위해 버그바운티에 주력하는 게 오히려 비용을 높일 수도 있다는 응답을 60% 받았다. IT 업계에서 결정권을 가진 사람들 500명 중 60%가 ‘소프트웨어 개발 단계에서 보안을 강화하는 편이 훨씬 저렴하다’고 답한 것. 그밖에 응답자의 44%는 버그바운티에 1백만 달러 이상을 투자해봤다고 답했으며 80%는 애플리케이션 개발 단계에서부터 보안을 강화하는 조직이 버그바운티에 지출되는 비용도 줄일 수 있다고 밝혔다.
‘대기업’으로 분류되는 기업들은 최근 버그바운티를 의욕적으로 시작하고 있다. 페이스북, 구글, MS, 미국 국방부, 애플까지 이 대열에 합류했다. 위 베라코드의 보고서에 의하면 버그바운티를 시작해봤다는 응답이 36%였고, 그 중 98%는 버그바운티로 찾아낸 버그를 수정할 때가 대부분이라고 답하기도 했다. 아직 버그바운티가 ‘주류’의 반열에까지 오르진 못했지만 그 효과는 일단 높이 사고 있다는 것.
하지만 3/4에 해당하는 응답자가 “너무 버그바운티에만 의존한다”고 답하기도 했다. 또한 500명 거의 전원이 “버그바운티로 찾아낸 취약점들 대부분 미리 내부적으로 발견해 고칠 수 있는 것들이었다”고도 말했다. 버그바운티의 효과가 없진 않지만, 절약할 수 있는 부분이 상당수 존재한다는 것이다.
베라코드의 CTO이자 공동 창립자인 크리스 와이소팔(Chris Wysopal) 역시 개발 단계에서 취약점 발견하는 게 비용면에서는 가장 이상적이라고 말한다. “79%가 개발만 꼼꼼하게 해도 버그바운티 비용이 크게 줄어듭니다. 저만 알고 있는 줄 알았는데, 이번 설문을 보니 모두 다 알고 있더라고요. 그 점이 더 재미있었습니다.”
비용 절감의 요소는 ‘개발 잘 하는 것’ 외에도 더 있다. “그냥 취약점 찾겠다고 버그바운티를 막 시작해서는 안 됩니다. 코딩 단계부터 보안을 강화하는 건 물론, 내부 실험 등을 시작으로 해서 한 번쯤은 보한 강화 절차를 한 번쯤 밟은 후에 시행하는 편이 좋습니다. 버그바운티를 하면 사실상 코드를 모든 사람에게 공개하는 겁니다. 그러니 최소한의 테스트를 거치고 공개하는 편이 안전이라는 측면에서도 더 좋겠죠.”
또한 고치기 쉬운 취약점들도 미리 발견해 냄으로써 쓸데없는 지출을 막을 수도 있다. “버그바운티 시작하기 전에 XSS 취약점이나 SQL 인젝션 취약점을 찾았다면, 이미 적지 않은 돈을 절약한 것입니다. 또 금방 고칠 수 있는 거니 하루빨리 안전해지는 길이기도 하고요. 또한 사업을 진행하는 상황에서 발생하는 행정 논리적인 오류나 인증 관련 문제 역시 이런 내부 검토에서 미리 발견될 수도 있다.
버그바운티 전문가인 케이티 무수리스(Katie Moussouris)는 미국 국방부의 사상 첫 버그바운티의 진행과 자문을 맡은 인물로서, 성급하게 시작한 버그바운티는 오히려 잃을 게 더 많은 프로그램이 되기 십상이라고 강조한다. “버그바운티는 마라톤 같은 겁니다. 이거 미리 훈련하지 않으면 완주는커녕 병원에 실려갑니다. 훈련도 처음부터 40km 뛰는 게 아니라 단거리부터 시작하죠.”
하지만 앱을 하나만 출시한 상태인 작은 스타트업이라면 이렇게까지 철저하게 하지 않아도 된다고 무수리스는 설명한다. “단, 그 하나밖에 없는 앱에 대한 보안 강화 프로그램을 내부적으로도 함께 진행한다는 전제 하에서입니다.”
무수리스는 “비싼 솔루션을 사는 것이나 몸값 높은 전문가 불러서 침투 테스트를 진행하는 것보다 버그바운티가 훨씬 저렴할 수 있고, 그러니 대기업들이 버그바운티를 매력적으로 느끼는 것”이라며 “하지만 기본은 충실히 할 줄 아는 사람들에게만 버그바운티는 축복”이라고 일축한다. “고치기 쉽고 흔한 취약점들만 무수히 나오는 버그바운티 프로그램은 돈 낭비일 뿐만 아니라 망신입니다. 우리 회사는 침투하기 쉬워,라고 온 세상에 광고하는 것이나 다름없죠.”
무수리스는 그래서 버그바운티에 대해 이렇게 결론을 내린다. “버그바운티의 기본 전제조건은, 기본을 반드시 갖추어야 한다는 겁니다. 고기도 먹어본 사람이 먹고, 돈도 써본 사람이 쓸 줄 안다고, 이런 절약의 기회도 평소에 보안을 해본 사람들이 누릴 수 있는 거라는 게 재미있죠. 하지만 사실입니다. 기본기가 없다고 판단된다면, 버그바운티는 추천하지 않습니다.”
Copyrighted 2015. UBM-Tech. 117153:0515BC
[국제부 문가용 기자(globoan@boannews.com)]
<저작권자: 보안뉴스(www.boannews.com) 무단전재-재배포금지>
.jpg)
 TH.png)
 TH.jpg)
.png)
.jpg){kind=small}
.jpg){kind=small}
.jpg){kind=small}
.jpg){kind=small}
.jpg){kind=small}
.JPG){kind=small}
.jpg){kind=small}
.jpg){kind=small}
.jpg){kind=small}
.jpg){kind=small}
.jpg){kind=small}
