.gif)
최초 버그바운티 후 7년간 잠잠...거인들이 실시한 이후 폭발
버그바운티, 자체 성장도 중요하지만 다른 산업 성장에도 기여해야
[보안뉴스 문가용 기자] 1995년, 넷스케이프(Netscape)가 21년 전, 첫 버그바운티를 런칭한 이후, 취약점을 다루는 기업들의 자세는 크게 변했다. 현재 주류 기업들 사이에서 불특정다수에게 취약점 발견을 맡기는 이 대범한 프로그램은 600개 이상 진행 중이다.
.jpg)
개인적으로 필자는 HP 포티파이(HP Fortify)에서 침투 실험 책임자로 있으면서 취약점 관리 프로그램을 여럿 진행했었다. 그 중에선 당연히 버그바운티도 있었는데, 이 흐름의 변화가 매우 급격했던 것으로 기억한다. 그 역사를 간략히 되짚어보고자 한다.
1. 첫 버그바운티
넷스케이프의 기술 지원 엔지니어였던 자렛 리들롱가퍼(Jarrett Ridlonghafer)가 역사에서 처음으로 기록될 버그바운티 프로그램을 기획하고 실제 런칭했다. 넷스케이프에서 출시한 내비게이터 2.0의 베타 버전에서 취약점을 찾고자 함이었다. 취약점을 찾아낸 해커들에게 현금을 수여했다.
이는 정보보안 업계에 있어서는 중요한 업적이었다. 하지만 당시에는 이것이 그다지 큰 이슈가 되지 않았다. 얼마나 시큰둥했으면 그 후로 7년이 지날 때까지 비슷한 시도가 한 번도 이루어지지 않았다. 그리고 2002년, 아이디펜스(IDfense)라는 업체가 버그바운티를 실시했고, 2004년에 모질라(Mozilla)가 현재까지도 진행 중인 버그바운티 프로그램을 신설했다. 이 세 가지 버그바운티 프로그램이 현재의 버그바운티를 있게 한 주요 사건이라고 볼 수 있다.
2. 틀을 깨기
2010년과 2011년, 이미 온라인 거인이 되어버린 구글과 페이스북이 보안 점검을 위해 대중들을 개입시킬 수도 있다는 사실에 눈을 떴고, 버그바운티 모델들을 조심스럽게 도입하기 시작했다. 구글과 페이스북이 도입하니 시선이 달라졌다. 넷스케이프가 했을 땐 아무도 몰라주던 것이 이 두 회사의 참여로 폭발한 것. 2011년 3월, 페이스북은 22살 전문가에게 1만 5천 달러를 지급한 것을 시작으로 여태까지 총 4백 3십만 달러의 상금을 보안 전문가들에게 지급했다.
그러나 아직 버그바운티가 보편적으로 인기 있는 프로그램으로 자리 잡았다고 보기는 어렵다. 하는 사람만 하고 아는 사람만 아는 것일 뿐 대부분 기업들은 ‘너무 위험부담이 크다’고 보고 있는 것. 얼굴도 이름도 모르는 누군가에게 소스코드를 건네준다는 식으로 버그바운티를 이해하고 있기 때문이다. 마치 내 몸의 면역력이 얼마나 강한지 보기 위해 일부러 독극물과 쓰레기 같은 것들만 잔뜩 먹는 것과 비슷한 게 아닐까, 하고 막연히 이해하는 것이다.
하지만 실제 버그바운티를 운영해보면 이런 상상과는 거리가 멀다. 생각보다 짜임새가 탄탄하고 안전장치가 충분히 마련돼 있다. 참가자들에게 제공해줄 것과 주지 않을 것을 기획자가 당연히 정하는 거고, 그들이 ‘침범’할 수 있는 영역 또한 프로그램 운영자가 결정해 통보할 수 있다. 게다가 사이버 범죄를 일으키는 실제 해커들은 소스코드나 원본 자료를 가지고 시작하지 않기 때문에, 이를 요청하는 경우도 거의 없다.
3. 서비스형 버그바운티
버그바운티 기획 및 진행이 점점 발전해가면서, 혹은 버그바운티에 대한 수요가 늘어나면서 버그바운티 서비스를 대행해주는 플랫폼도 등장했다. 이는 버그바운티가 너무 위험한 거 아니냐는 기존 불안감을 어느 정도 해소시키는 데 일조하기도 했고, 기술 관련 산업에 종사하는 기업들만의 전유물처럼 여겨졌던 버그바운티가 의료, 금융, 자동차 등의 다른 산업으로도 퍼지는 데 공헌을 했다.
이런 대행 서비스 및 플랫폼들은 주로 버그바운티를 하고 싶어 하는 업체와 버그바운티 일거리를 찾는 전문가 및 커뮤니티를 연결시켜주는 역할을 수행해왔다. 즉, 버그바운티 진행 후 약속된 보상이 제대로 이뤄지지 않는 것을 막고, 동시에 동기나 자질이 의심스러운 보안 전문가의 참여를 막는, 중개자 역할을 제대로 하는 것이 버그바운티 플랫폼의 역할로 굳어졌다. 이런 플랫폼들은 자연스럽게 보안 전문가들의 커뮤니티로 굳어지기도 했다.
4. 미래는?
그럼에도 아직 버그바운티 프로그램의 대부분은 ‘폐쇄형’ 혹은 ‘초대형’이다. 대중에게 활짝 열린 버그바운티보다 일부 해커들만의 참여를 허가하는 방식의 버그바운티가 많은 것이다. 이런 방식의 버그바운티는 활성화도 빠르고, 성장세가 가파르다. 또한 보다 덜 대중적이거나 고급 애플리케이션들에 대한 취약점 점검에 많이 활용되다보니 기술적인 성숙도도 꽤나 높은 편이다.
당분간은 이런 방식의 버그바운티가 더 성장가도를 달릴 것으로 보인다. 폐쇄형이기 때문에 오히려 그 안에서 더 높은 수준의 자유로운 발전과 부흥이 일어나고 있다는 건, 투명성과 공개만이 정의인 것처럼 여겨지는 지금과 같은 때에 한번 쯤 생각해볼 만한 점이다.
하지만 중요한 건 버그바운티 자체의 성장이 아니라, 버그바운티의 성장이 실제 다른 산업들의 안전과 향상에도 기여를 해야 한다는 것이다. 개인적으로는 앞으로 대거 등장할 사물인터넷의 보안 문제와 버그바운티의 발전이 어떤 모양새로 맞물리고, 어떤 결과를 가져다줄지 주목하고 있다.
글 : 제이슨 하딕스(Jason Haddix)
Copyrighted 2015. UBM-Tech. 117153:0515BC
[국제부 문가용 기자(globoan@boannews.com)]
버그바운티, 자체 성장도 중요하지만 다른 산업 성장에도 기여해야
[보안뉴스 문가용 기자] 1995년, 넷스케이프(Netscape)가 21년 전, 첫 버그바운티를 런칭한 이후, 취약점을 다루는 기업들의 자세는 크게 변했다. 현재 주류 기업들 사이에서 불특정다수에게 취약점 발견을 맡기는 이 대범한 프로그램은 600개 이상 진행 중이다.
개인적으로 필자는 HP 포티파이(HP Fortify)에서 침투 실험 책임자로 있으면서 취약점 관리 프로그램을 여럿 진행했었다. 그 중에선 당연히 버그바운티도 있었는데, 이 흐름의 변화가 매우 급격했던 것으로 기억한다. 그 역사를 간략히 되짚어보고자 한다.
1. 첫 버그바운티
넷스케이프의 기술 지원 엔지니어였던 자렛 리들롱가퍼(Jarrett Ridlonghafer)가 역사에서 처음으로 기록될 버그바운티 프로그램을 기획하고 실제 런칭했다. 넷스케이프에서 출시한 내비게이터 2.0의 베타 버전에서 취약점을 찾고자 함이었다. 취약점을 찾아낸 해커들에게 현금을 수여했다.
이는 정보보안 업계에 있어서는 중요한 업적이었다. 하지만 당시에는 이것이 그다지 큰 이슈가 되지 않았다. 얼마나 시큰둥했으면 그 후로 7년이 지날 때까지 비슷한 시도가 한 번도 이루어지지 않았다. 그리고 2002년, 아이디펜스(IDfense)라는 업체가 버그바운티를 실시했고, 2004년에 모질라(Mozilla)가 현재까지도 진행 중인 버그바운티 프로그램을 신설했다. 이 세 가지 버그바운티 프로그램이 현재의 버그바운티를 있게 한 주요 사건이라고 볼 수 있다.
2. 틀을 깨기
2010년과 2011년, 이미 온라인 거인이 되어버린 구글과 페이스북이 보안 점검을 위해 대중들을 개입시킬 수도 있다는 사실에 눈을 떴고, 버그바운티 모델들을 조심스럽게 도입하기 시작했다. 구글과 페이스북이 도입하니 시선이 달라졌다. 넷스케이프가 했을 땐 아무도 몰라주던 것이 이 두 회사의 참여로 폭발한 것. 2011년 3월, 페이스북은 22살 전문가에게 1만 5천 달러를 지급한 것을 시작으로 여태까지 총 4백 3십만 달러의 상금을 보안 전문가들에게 지급했다.
그러나 아직 버그바운티가 보편적으로 인기 있는 프로그램으로 자리 잡았다고 보기는 어렵다. 하는 사람만 하고 아는 사람만 아는 것일 뿐 대부분 기업들은 ‘너무 위험부담이 크다’고 보고 있는 것. 얼굴도 이름도 모르는 누군가에게 소스코드를 건네준다는 식으로 버그바운티를 이해하고 있기 때문이다. 마치 내 몸의 면역력이 얼마나 강한지 보기 위해 일부러 독극물과 쓰레기 같은 것들만 잔뜩 먹는 것과 비슷한 게 아닐까, 하고 막연히 이해하는 것이다.
하지만 실제 버그바운티를 운영해보면 이런 상상과는 거리가 멀다. 생각보다 짜임새가 탄탄하고 안전장치가 충분히 마련돼 있다. 참가자들에게 제공해줄 것과 주지 않을 것을 기획자가 당연히 정하는 거고, 그들이 ‘침범’할 수 있는 영역 또한 프로그램 운영자가 결정해 통보할 수 있다. 게다가 사이버 범죄를 일으키는 실제 해커들은 소스코드나 원본 자료를 가지고 시작하지 않기 때문에, 이를 요청하는 경우도 거의 없다.
3. 서비스형 버그바운티
버그바운티 기획 및 진행이 점점 발전해가면서, 혹은 버그바운티에 대한 수요가 늘어나면서 버그바운티 서비스를 대행해주는 플랫폼도 등장했다. 이는 버그바운티가 너무 위험한 거 아니냐는 기존 불안감을 어느 정도 해소시키는 데 일조하기도 했고, 기술 관련 산업에 종사하는 기업들만의 전유물처럼 여겨졌던 버그바운티가 의료, 금융, 자동차 등의 다른 산업으로도 퍼지는 데 공헌을 했다.
이런 대행 서비스 및 플랫폼들은 주로 버그바운티를 하고 싶어 하는 업체와 버그바운티 일거리를 찾는 전문가 및 커뮤니티를 연결시켜주는 역할을 수행해왔다. 즉, 버그바운티 진행 후 약속된 보상이 제대로 이뤄지지 않는 것을 막고, 동시에 동기나 자질이 의심스러운 보안 전문가의 참여를 막는, 중개자 역할을 제대로 하는 것이 버그바운티 플랫폼의 역할로 굳어졌다. 이런 플랫폼들은 자연스럽게 보안 전문가들의 커뮤니티로 굳어지기도 했다.
4. 미래는?
그럼에도 아직 버그바운티 프로그램의 대부분은 ‘폐쇄형’ 혹은 ‘초대형’이다. 대중에게 활짝 열린 버그바운티보다 일부 해커들만의 참여를 허가하는 방식의 버그바운티가 많은 것이다. 이런 방식의 버그바운티는 활성화도 빠르고, 성장세가 가파르다. 또한 보다 덜 대중적이거나 고급 애플리케이션들에 대한 취약점 점검에 많이 활용되다보니 기술적인 성숙도도 꽤나 높은 편이다.
당분간은 이런 방식의 버그바운티가 더 성장가도를 달릴 것으로 보인다. 폐쇄형이기 때문에 오히려 그 안에서 더 높은 수준의 자유로운 발전과 부흥이 일어나고 있다는 건, 투명성과 공개만이 정의인 것처럼 여겨지는 지금과 같은 때에 한번 쯤 생각해볼 만한 점이다.
하지만 중요한 건 버그바운티 자체의 성장이 아니라, 버그바운티의 성장이 실제 다른 산업들의 안전과 향상에도 기여를 해야 한다는 것이다. 개인적으로는 앞으로 대거 등장할 사물인터넷의 보안 문제와 버그바운티의 발전이 어떤 모양새로 맞물리고, 어떤 결과를 가져다줄지 주목하고 있다.
글 : 제이슨 하딕스(Jason Haddix)
Copyrighted 2015. UBM-Tech. 117153:0515BC
[국제부 문가용 기자(globoan@boannews.com)]
<저작권자: 보안뉴스(www.boannews.com) 무단전재-재배포금지>
.jpg)
.jpg)
.png)
.jpg){kind=small}
.jpg){kind=small}
.jpg){kind=small}
.jpg){kind=small}
.jpg){kind=small}
.JPG){kind=small}
.jpg){kind=small}
.jpg){kind=small}
.jpg){kind=small}
.jpg){kind=small}
.jpg){kind=small}
