.gif)
국방부의 버그바운티 프로그램, 성공적인 마무리
미군 버그바운티 참여 인원은 보다 제한적
[보안뉴스 문가용 기자] 미군도 버그바운티를 시작했다. 올해 약 한 달 간 진행된 미국 국방부가 진행한 버그바운티 프로그램인 ‘핵 더 펜타곤(Hack the Pentagon)’의 성공에 어느 정도 영향을 받은 듯 하다. 미군도 국방부처럼 해커원(HackerOne)과 협동으로 이 프로그램을 진행한다고 하며, 이름도 ‘핵 디 아미(Hack the Army)’로 정해졌다.
핵 디 아미 프로그램의 목표는 궁극적으로 군대의 사이버 보안을 강화하는 것으로, 외부의 보안 전문가 및 해커들에게 ‘해볼 테면 해봐’라는 초대 메시지를 보내고 있다. 미국 육군성 장관인 에릭 패닝(Eric Fanning)은 “미군의 컴퓨터 시스템이란 곳에 들어올 수 있으면 얼마든지 들어와서 우리의 약함을 증명하고 상금도 타가기를 바란다”고 기자 회견에서 발표했다.
“보통 우리 같은 사람들(군대)과 엮이고 싶어 하지 않죠? 더 이상 그럴 필요 없습니다. 지금 저희 미군은 여러 해커 및 보안 전문가라는 사람들에게 도전장을 내고 있는 겁니다. 뚫을 수 있으면 얼마든지 해보십시오.”
이번에 미군과 파트너십을 맺은 해커원 역시 자신들의 플랫폼을 통해 보안 전문가들과 버그 헌터들을 불러 모을 계획이다. 하지만 핵 더 펜타곤 때와는 다르게 현역 장교나 정부기관의 민간인 근무자들을 대상으로 하고 있다. 즉 완전히 공개된 버그바운티는 아닌 것. 핵 더 펜타곤의 경우에도 등록제로 운영되긴 했지만 참가 가능 자격을 크게 제한하지는 않았었다.
전문가 및 해커들이 주무를 수 있는 웹 사이트와 데이터베이스는 추후 발표될 예정이다. 패닝에 따르면 미군의 임무 수행에 있어 매우 중요한 웹 사이트 및 데이터베이스가 될 것이라고 한다. 또한 다이내믹 콘텐츠의 호스트와 미군 운영의 핵심적인 시스템도 버그바운티 대상이라고 전달했다.
“핵 더 펜타곤을 통해 미국이라는 나라의 사이버 보안 강화에 적극 뛰어들겠다는 사람이 엄청나게 많다는 걸 알게 되었습니다. 해커들이라고 해서 전부 해킹만 하고 싶어 하는 게 아니더군요. 그 재주를 통해 뭔가 의미 있는 일을 해내고 싶다는 열망이 있었습니다. 저희 같은 주요 정부 기관은 그런 재주가 발산될 수 있는 장을 마련해주는 것이죠.”
핵 디 아미는 미 연방 정부 기관에서 진행한 사상 두 번째 버그바운티 프로그램이다. 첫 번째는 핵 더 펜타곤으로 정확히 24일 동안 진행되었으며 138개의 버그를 찾아내 해결했다. 또한 핵 더 펜타곤의 공식 발표가 있은 후 불과 13분 만에 첫 번째 신고가 들어왔다. 최초 6시간 안에 200개의 추가 버그 제출이 있었고, 전체 기간 동안 약 30분에 하나 꼴로 버그가 신고 되었다.
해커원에 의하면 총 1410명의 해커가 이 프로그램에 등록했으며 이 중 250명 만이 취약점을 찾는 데에 성공했다. 현금 보상으로까지 이어진 버그는 138개였다고 한다. 가장 적은 상금은 100달러였으며 개인이 받은 가장 높은 상금은 15,000 달러였다. 상금으로 구글이 쓴 돈은 총 7만 5천 달러였다. 핵 디 아미에 대한 내용은 여기에서 열람할 수 있다.
Copyrighted 2015. UBM-Tech. 117153:0515BC
[국제부 문가용 기자(globoan@boannews.com)]
미군 버그바운티 참여 인원은 보다 제한적
[보안뉴스 문가용 기자] 미군도 버그바운티를 시작했다. 올해 약 한 달 간 진행된 미국 국방부가 진행한 버그바운티 프로그램인 ‘핵 더 펜타곤(Hack the Pentagon)’의 성공에 어느 정도 영향을 받은 듯 하다. 미군도 국방부처럼 해커원(HackerOne)과 협동으로 이 프로그램을 진행한다고 하며, 이름도 ‘핵 디 아미(Hack the Army)’로 정해졌다.
핵 디 아미 프로그램의 목표는 궁극적으로 군대의 사이버 보안을 강화하는 것으로, 외부의 보안 전문가 및 해커들에게 ‘해볼 테면 해봐’라는 초대 메시지를 보내고 있다. 미국 육군성 장관인 에릭 패닝(Eric Fanning)은 “미군의 컴퓨터 시스템이란 곳에 들어올 수 있으면 얼마든지 들어와서 우리의 약함을 증명하고 상금도 타가기를 바란다”고 기자 회견에서 발표했다.
“보통 우리 같은 사람들(군대)과 엮이고 싶어 하지 않죠? 더 이상 그럴 필요 없습니다. 지금 저희 미군은 여러 해커 및 보안 전문가라는 사람들에게 도전장을 내고 있는 겁니다. 뚫을 수 있으면 얼마든지 해보십시오.”
이번에 미군과 파트너십을 맺은 해커원 역시 자신들의 플랫폼을 통해 보안 전문가들과 버그 헌터들을 불러 모을 계획이다. 하지만 핵 더 펜타곤 때와는 다르게 현역 장교나 정부기관의 민간인 근무자들을 대상으로 하고 있다. 즉 완전히 공개된 버그바운티는 아닌 것. 핵 더 펜타곤의 경우에도 등록제로 운영되긴 했지만 참가 가능 자격을 크게 제한하지는 않았었다.
전문가 및 해커들이 주무를 수 있는 웹 사이트와 데이터베이스는 추후 발표될 예정이다. 패닝에 따르면 미군의 임무 수행에 있어 매우 중요한 웹 사이트 및 데이터베이스가 될 것이라고 한다. 또한 다이내믹 콘텐츠의 호스트와 미군 운영의 핵심적인 시스템도 버그바운티 대상이라고 전달했다.
“핵 더 펜타곤을 통해 미국이라는 나라의 사이버 보안 강화에 적극 뛰어들겠다는 사람이 엄청나게 많다는 걸 알게 되었습니다. 해커들이라고 해서 전부 해킹만 하고 싶어 하는 게 아니더군요. 그 재주를 통해 뭔가 의미 있는 일을 해내고 싶다는 열망이 있었습니다. 저희 같은 주요 정부 기관은 그런 재주가 발산될 수 있는 장을 마련해주는 것이죠.”
핵 디 아미는 미 연방 정부 기관에서 진행한 사상 두 번째 버그바운티 프로그램이다. 첫 번째는 핵 더 펜타곤으로 정확히 24일 동안 진행되었으며 138개의 버그를 찾아내 해결했다. 또한 핵 더 펜타곤의 공식 발표가 있은 후 불과 13분 만에 첫 번째 신고가 들어왔다. 최초 6시간 안에 200개의 추가 버그 제출이 있었고, 전체 기간 동안 약 30분에 하나 꼴로 버그가 신고 되었다.
해커원에 의하면 총 1410명의 해커가 이 프로그램에 등록했으며 이 중 250명 만이 취약점을 찾는 데에 성공했다. 현금 보상으로까지 이어진 버그는 138개였다고 한다. 가장 적은 상금은 100달러였으며 개인이 받은 가장 높은 상금은 15,000 달러였다. 상금으로 구글이 쓴 돈은 총 7만 5천 달러였다. 핵 디 아미에 대한 내용은 여기에서 열람할 수 있다.
Copyrighted 2015. UBM-Tech. 117153:0515BC
[국제부 문가용 기자(globoan@boannews.com)]
<저작권자: 보안뉴스(www.boannews.com) 무단전재-재배포금지>
.jpg){kind=small}
.jpg){kind=small}
.jpg){kind=small}
.jpg){kind=small}
.jpg){kind=small}
.JPG){kind=small}
.jpg){kind=small}
.jpg){kind=small}
.jpg){kind=small}
.jpg){kind=small}
.jpg){kind=small}
