1995년 민간기업에서 시작...이젠 美 국방부 등 정부기관까지 시행
해외에 비해 아직 부족하지만 VP나 라인 등 참여기업 조금씩 늘고 있어
[보안뉴스 원병철 기자] 최근 안전결제 서비스인 ISP 서비스를 운영하는 브이피(VP)가 한국정보보호학회와 공동으로 버그바운티를 운영한 것으로 알려져 눈길을 끌고 있다. 브이피에 따르면 서비스 취약점의 접근성과 복잡성, 가용성과 대응방안 등 4개 부문에 대한 평가를 기준으로 진행된 이번 VP 버그바운티는 벌써 3회째로, 그동안의 결과를 바탕으로 해당 취약점에 대한 평가 및 조치를 통해 고객의 서비스 보안에 힘쓰고 있다고 밝혔다.
.jpg)
▲ 기업의 보안체계도 두드리면 점점 더 강해지리라
넷스케이프에서 최초의 버그바운티 시행...이제는 정부기관까지 참여
‘버그바운티(Bug Bounty)’, 한국어로 풀어쓰면 벌레 사냥꾼 정도로 풀이되는 이 단어는 2016년 한해 굵직한 글로벌 IT 기업, 혹은 정부기관들이 한 번씩은 진행했던 ‘취약점 신고 포상제’를 말한다. 숨은 그림 찾기와 같이 SW나 프로그램에서 버그를 찾아내면 해당 기업에서 포상금을 수여하는 방식으로, 마치 기자들이 자기가 쓴 기사에서 오탈자를 찾지 못하는 것처럼 내부에서 찾지 못하는 문제점들을 외부의 힘을 빌려 찾아내고 수정하겠다는 것이다.
위키피디아에 따르면 버그바운티는 1995년 넷스케이프(Netscape Communications Corporation)에서 시작됐다. 넷스케이프 기술지원 엔지니어인 ‘Jarrett Ridlinghafer’는 넷스케이프에는 열광적인 지지자인 사용자들이 많고, 심지어 그들이 직접 제품의 버그를 고치고 사용하고 있다는 사실에 착안해 버그바운티를 기획했다. 이후 넷스케이프는 그의 아이디어를 바탕으로 1995년 최초의 버그바운티 프로그램을 시작했고, 해당 프로그램이 지금까지 이어져 왔다.
이후 많은 기업들이 버그바운티를 활용하기 시작했다. 특히, 구글이 지난 2014년 버그바운티에 총 150만 달러의 보상금을 지급한 ‘보안 강화 보상 프로그램(Security Reward Programs)’을 성공적으로 진행되면서 다른 기업들의 적극적인 참여를 이끌어냈다. 당시만 해도 버그바운티에 대한 찬반논쟁으로 떠들썩했었는데, 구글의 발 빠른 행보에 자극을 받은 트위터(Twitter), 핀터레스트(Pinterest), 블랙폰/사일런트 써클(Blackphone/Silent Circle), 라이엇 게임즈(Riot Games) 등과 같은 글로벌 기업들도 버그바운티를 추진하면서 본격적인 확대의 길을 걷게 된 셈이다.
기업들에 이어 정부기관도 버그바운티 붐에 참여하기 시작했다. 2016년 3월 미국 국방부가 관리하는 488개 웹사이트와 국방부 네트워크를 대상으로 한 ‘핵 더 펜타곤(Hack the Pentagon)’을 시행한 것. 美 국방부는 핵 더 펜타곤에 참여할 대상자를 조사하기 위한 ‘특수 컴퓨터 시스템’ 개발에만 약 6억 달러 이상을 투자해 이목을 끌었다. 이로부터 8개월 후인 11월, 美 육군(U.S.ARMY)도 ‘핵 디 아미(Hack the Army)’란 이름으로 버그바운티를 추진했다.
우리나라, 버그바운티에 대한 거부감으로 아직 참여 저조
그렇다면 우리나라 상황은 어떨까? 우리나라 최초의 버그바운티는 2012년 한국인터넷진흥원(KISA)이 진행한 것으로 알려졌으며, 삼성전자와 네이버, 한글과 컴퓨터 등 극소수의 민간 기업만이 운영하고 있는 수준이다. 해외에서 본격화되고 있는 버그바운티가 국내에서는 이렇게 저조한 이유는 뭘까? 보안전문가들은 여력 있는 소프트웨어 전문기업이 많지 않고, 버그바운티에 주력하는 보안전문가 등에 대한 인식 부족을 이유로 꼽는다.
KISA의 버그바운티는 2012년 처음 시작할 당시 포상금액이 총 1,970만원에 불과했으며, 이제 겨우 2억 원을 넘긴 상태다. 삼성전자는 스마트TV에 대한 버그바운티만 시행하고 상금도 1,000달러 수준이며, 네이버도 개인정보보호 관련 버그바운티인 ‘프라이버시 강화 보상제도(PER: Privacy Enhancement Reward)’를 운영한다고 밝혔지만 구체적인 사항은 정확히 알려진 바가 없다.
취약점을 찾아내는 보안전문가에 대한 인식 역시 마찬가지다. 지난 9월 천재 해커로 알려진 이정훈 씨가 취업 1년 만에 삼성SDS를 떠나 구글로 이직한다는 소식이 들리자 보안종사자들은 당연한 결과라고 입을 모았다. 취약점 찾기에 출중한 능력을 보이는 보안전문가를 이해하고 포용하지 못한 한국식 기업 풍토 때문이라는 지적이 제기된 것이다.
또 하나의 문제는 바로 버그바운티에 대한 거부감이다. 사실 보안전문가들은 버그바운티로 돈을 벌려는 목적보다는 성취감이나 만족감을 우선시하는 경우가 많다. 이에 별 다른 상금이 없어도 기관이나 기업의 취약점이나 문제들을 해당 기업 혹은 언론에 제보한다. 문제는 기업이나 기관의 반응이다.
물론 현행 정보통신망법에 의거해 허가 없이 웹사이트나 웹서버 등으로 침입하면 아무리 선한 의도였다 하더라도 불법행위로 처벌을 받게 된다. 그러나 합법적인 취약점 제보도 기업들은 취약점을 수정하기보다 외부에 알려지지 않도록 하고, 고소 위협 등으로 제보자를 윽박지르는 데 급급한 경우가 많다. 또 다른 측면에서는 취약점 제보를 빌미로 돈이나 보상을 요구하고, 기업이 들어주지 않을 경우 언론에 제보하겠다는 해커들이 간혹 존재한다는 점에서도 우려할 만한 부분이 없지 않다. 이러한 상황에서 돈까지 들여가며 버그바운티를 시행하려는 기업이 많지 않은 것은 어쩌면 너무나 당연하다.
무리한 버그바운티는 오히려 위험, 우리 상황에 맞게 활성화시켜야
버그바운티에 대한 거부감은 국내뿐만은 아니다. 지난해 오라클의 CSO인 메리 앤 데이비슨(Mary Ann Davidson)이 블로그에 남긴 글 때문에 정보보안 업계에 파장이 적지 않았다. “당신들에게 코드 분석을 요청한 적도 없고, 부탁하지도 않았다. 오라클은 충분히 수행하고 있다”와 같은 버그바운티에 대한 비판적인 글은 사실 많은 기업들이 갖고 있는 생각이기도 하다.
일각에서는 기본적인 보안바탕이 없다면 버그바운티를 하지 않는 것이 더 낫다는 이야기도 나온다. 솔루션이나 전문가를 고용하는 것보다 버그바운티가 저렴하기 때문에 각광받는 일도 있지만, 이로 인해 오히려 비용이 더 증가하는 것은 물론 사이버범죄자들의 주목을 받아 더 위험해질 수도 있다는 거다. 美 국방부의 버그바운티 진행과 자문을 맡은 케이티 무수리스(Katie Moussouris)는 버그바운티를 마라톤에 비교하며, 미리 훈련을 하지 않으면 완주는커녕 병원에 실려갈 것이라고 경고했다.
하지만 분명한 것은 버그바운티를 잘 활용하면 기업이나 기관의 보안 강화에 충분한 성과를 거둘 수 있다는 점이다. 이는 민간기업을 넘어 정부기관으로까지 버그바운티가 확대되고 있다는 사실로 확인할 수 있다. 아직까지 우리나라는 여러 여건상 버그바운티가 활성화되지 못하고 있지만, 앞서 소개한 VP나 국내 대학 최초로 시행하는 성균관대학교, IoT 기기 등 품목별로 버그바운티를 확대하고 있는 KISA 등 조금씩 늘어나고 있다는 점에선 상당히 고무적이다. 버그바운티 제도를 우리나라의 법제도적 여건에 맞춰 점차 확대해 나간다면 2017년은 나름의 성과도 기대할 수 있을 것으로 보인다.
[원병철 기자(boanone@boannews.com)]
해외에 비해 아직 부족하지만 VP나 라인 등 참여기업 조금씩 늘고 있어
[보안뉴스 원병철 기자] 최근 안전결제 서비스인 ISP 서비스를 운영하는 브이피(VP)가 한국정보보호학회와 공동으로 버그바운티를 운영한 것으로 알려져 눈길을 끌고 있다. 브이피에 따르면 서비스 취약점의 접근성과 복잡성, 가용성과 대응방안 등 4개 부문에 대한 평가를 기준으로 진행된 이번 VP 버그바운티는 벌써 3회째로, 그동안의 결과를 바탕으로 해당 취약점에 대한 평가 및 조치를 통해 고객의 서비스 보안에 힘쓰고 있다고 밝혔다.
▲ 기업의 보안체계도 두드리면 점점 더 강해지리라
넷스케이프에서 최초의 버그바운티 시행...이제는 정부기관까지 참여
‘버그바운티(Bug Bounty)’, 한국어로 풀어쓰면 벌레 사냥꾼 정도로 풀이되는 이 단어는 2016년 한해 굵직한 글로벌 IT 기업, 혹은 정부기관들이 한 번씩은 진행했던 ‘취약점 신고 포상제’를 말한다. 숨은 그림 찾기와 같이 SW나 프로그램에서 버그를 찾아내면 해당 기업에서 포상금을 수여하는 방식으로, 마치 기자들이 자기가 쓴 기사에서 오탈자를 찾지 못하는 것처럼 내부에서 찾지 못하는 문제점들을 외부의 힘을 빌려 찾아내고 수정하겠다는 것이다.
위키피디아에 따르면 버그바운티는 1995년 넷스케이프(Netscape Communications Corporation)에서 시작됐다. 넷스케이프 기술지원 엔지니어인 ‘Jarrett Ridlinghafer’는 넷스케이프에는 열광적인 지지자인 사용자들이 많고, 심지어 그들이 직접 제품의 버그를 고치고 사용하고 있다는 사실에 착안해 버그바운티를 기획했다. 이후 넷스케이프는 그의 아이디어를 바탕으로 1995년 최초의 버그바운티 프로그램을 시작했고, 해당 프로그램이 지금까지 이어져 왔다.
이후 많은 기업들이 버그바운티를 활용하기 시작했다. 특히, 구글이 지난 2014년 버그바운티에 총 150만 달러의 보상금을 지급한 ‘보안 강화 보상 프로그램(Security Reward Programs)’을 성공적으로 진행되면서 다른 기업들의 적극적인 참여를 이끌어냈다. 당시만 해도 버그바운티에 대한 찬반논쟁으로 떠들썩했었는데, 구글의 발 빠른 행보에 자극을 받은 트위터(Twitter), 핀터레스트(Pinterest), 블랙폰/사일런트 써클(Blackphone/Silent Circle), 라이엇 게임즈(Riot Games) 등과 같은 글로벌 기업들도 버그바운티를 추진하면서 본격적인 확대의 길을 걷게 된 셈이다.
기업들에 이어 정부기관도 버그바운티 붐에 참여하기 시작했다. 2016년 3월 미국 국방부가 관리하는 488개 웹사이트와 국방부 네트워크를 대상으로 한 ‘핵 더 펜타곤(Hack the Pentagon)’을 시행한 것. 美 국방부는 핵 더 펜타곤에 참여할 대상자를 조사하기 위한 ‘특수 컴퓨터 시스템’ 개발에만 약 6억 달러 이상을 투자해 이목을 끌었다. 이로부터 8개월 후인 11월, 美 육군(U.S.ARMY)도 ‘핵 디 아미(Hack the Army)’란 이름으로 버그바운티를 추진했다.
우리나라, 버그바운티에 대한 거부감으로 아직 참여 저조
그렇다면 우리나라 상황은 어떨까? 우리나라 최초의 버그바운티는 2012년 한국인터넷진흥원(KISA)이 진행한 것으로 알려졌으며, 삼성전자와 네이버, 한글과 컴퓨터 등 극소수의 민간 기업만이 운영하고 있는 수준이다. 해외에서 본격화되고 있는 버그바운티가 국내에서는 이렇게 저조한 이유는 뭘까? 보안전문가들은 여력 있는 소프트웨어 전문기업이 많지 않고, 버그바운티에 주력하는 보안전문가 등에 대한 인식 부족을 이유로 꼽는다.
KISA의 버그바운티는 2012년 처음 시작할 당시 포상금액이 총 1,970만원에 불과했으며, 이제 겨우 2억 원을 넘긴 상태다. 삼성전자는 스마트TV에 대한 버그바운티만 시행하고 상금도 1,000달러 수준이며, 네이버도 개인정보보호 관련 버그바운티인 ‘프라이버시 강화 보상제도(PER: Privacy Enhancement Reward)’를 운영한다고 밝혔지만 구체적인 사항은 정확히 알려진 바가 없다.
취약점을 찾아내는 보안전문가에 대한 인식 역시 마찬가지다. 지난 9월 천재 해커로 알려진 이정훈 씨가 취업 1년 만에 삼성SDS를 떠나 구글로 이직한다는 소식이 들리자 보안종사자들은 당연한 결과라고 입을 모았다. 취약점 찾기에 출중한 능력을 보이는 보안전문가를 이해하고 포용하지 못한 한국식 기업 풍토 때문이라는 지적이 제기된 것이다.
또 하나의 문제는 바로 버그바운티에 대한 거부감이다. 사실 보안전문가들은 버그바운티로 돈을 벌려는 목적보다는 성취감이나 만족감을 우선시하는 경우가 많다. 이에 별 다른 상금이 없어도 기관이나 기업의 취약점이나 문제들을 해당 기업 혹은 언론에 제보한다. 문제는 기업이나 기관의 반응이다.
물론 현행 정보통신망법에 의거해 허가 없이 웹사이트나 웹서버 등으로 침입하면 아무리 선한 의도였다 하더라도 불법행위로 처벌을 받게 된다. 그러나 합법적인 취약점 제보도 기업들은 취약점을 수정하기보다 외부에 알려지지 않도록 하고, 고소 위협 등으로 제보자를 윽박지르는 데 급급한 경우가 많다. 또 다른 측면에서는 취약점 제보를 빌미로 돈이나 보상을 요구하고, 기업이 들어주지 않을 경우 언론에 제보하겠다는 해커들이 간혹 존재한다는 점에서도 우려할 만한 부분이 없지 않다. 이러한 상황에서 돈까지 들여가며 버그바운티를 시행하려는 기업이 많지 않은 것은 어쩌면 너무나 당연하다.
무리한 버그바운티는 오히려 위험, 우리 상황에 맞게 활성화시켜야
버그바운티에 대한 거부감은 국내뿐만은 아니다. 지난해 오라클의 CSO인 메리 앤 데이비슨(Mary Ann Davidson)이 블로그에 남긴 글 때문에 정보보안 업계에 파장이 적지 않았다. “당신들에게 코드 분석을 요청한 적도 없고, 부탁하지도 않았다. 오라클은 충분히 수행하고 있다”와 같은 버그바운티에 대한 비판적인 글은 사실 많은 기업들이 갖고 있는 생각이기도 하다.
일각에서는 기본적인 보안바탕이 없다면 버그바운티를 하지 않는 것이 더 낫다는 이야기도 나온다. 솔루션이나 전문가를 고용하는 것보다 버그바운티가 저렴하기 때문에 각광받는 일도 있지만, 이로 인해 오히려 비용이 더 증가하는 것은 물론 사이버범죄자들의 주목을 받아 더 위험해질 수도 있다는 거다. 美 국방부의 버그바운티 진행과 자문을 맡은 케이티 무수리스(Katie Moussouris)는 버그바운티를 마라톤에 비교하며, 미리 훈련을 하지 않으면 완주는커녕 병원에 실려갈 것이라고 경고했다.
하지만 분명한 것은 버그바운티를 잘 활용하면 기업이나 기관의 보안 강화에 충분한 성과를 거둘 수 있다는 점이다. 이는 민간기업을 넘어 정부기관으로까지 버그바운티가 확대되고 있다는 사실로 확인할 수 있다. 아직까지 우리나라는 여러 여건상 버그바운티가 활성화되지 못하고 있지만, 앞서 소개한 VP나 국내 대학 최초로 시행하는 성균관대학교, IoT 기기 등 품목별로 버그바운티를 확대하고 있는 KISA 등 조금씩 늘어나고 있다는 점에선 상당히 고무적이다. 버그바운티 제도를 우리나라의 법제도적 여건에 맞춰 점차 확대해 나간다면 2017년은 나름의 성과도 기대할 수 있을 것으로 보인다.
[원병철 기자(boanone@boannews.com)]
<저작권자: 보안뉴스(www.boannews.com) 무단전재-재배포금지>
.jpg)
 TH.png)
.png)
.jpg){kind=small}
.jpg){kind=small}
.jpg){kind=small}
.jpg){kind=small}
.jpg){kind=small}
.JPG){kind=small}
.jpg){kind=small}
.jpg){kind=small}
.jpg){kind=small}
.jpg){kind=small}
.jpg){kind=small}
