총 상금은 1백만 달러에 육박...15개 무료 소프트웨어에서 취약점 찾아야
1월부터 시작되는 것이 14개, 나머지 하나는 3월부터...그간 발견된 취약점은?
[보안뉴스 문가용 기자] 유럽연합이 새로운 버그바운티를 시작하며 1백만 달러에 가까운 돈을 상금으로 내걸었다. 연구 대상이 되는 것은 현재 널리 사용되고 있는 무료 오픈소스 소프트웨어 프로젝트 15개다. 여기서 취약점들을 찾아낼 수 있다면 상금을 차지할 수 있다.
[이미지 = iclickart]
이에 대한 발표는 독일의 줄리아 레다(Julia Reda)라는 유럽평의회 독일 측 대변인이 맡았다. 레다 의원은 여러 다른 의원들과 함께 FOSSA라는 프로젝트를 창립한 바 있는 인물이다. FOSSA란 Free and Open Source Software Audit의 준말로, ‘무료 오픈소스 소프트웨어 감사’라는 뜻이다.
FOSSA는 2014년에 시작된 프로젝트로 유럽연합 집행위원회가 운영하고 있다. 당시 큰 화젯거리가 되었던 하트블리드(Heartbleed) 취약점이 오픈SSL에서 발견됨에 따라, 오픈소스 툴들에 대한 보안 대응책으로 마련된 것이다. 버그바운티, 감사, 해카톤 등의 다양한 프로그램을 진행함으로써 인터넷 전체의 보안을 높인다는 것이 이 프로젝트의 목표다.
그런 FOSSA가 이번 달부터 14개의 버그바운티를 새롭게 시작한다. 나머지 하나는 3월부터 시작이다. 대상이 되는 무료 소프트웨어는 파일질라(Filezilla), 아파치 카프카(Apache Kafka), 아파치 톰캣(Apache Tomcat), 노트패드++(Notepad++), 푸티(PuTTY), VLC, 플럭스 TL(FLUX TL), 키패스(KeePass), 7-Zip, 디지털 시그니처 서비스(Digital Signature Services), 드루팔(Drupal), glibc, PHP 심포니(PHP Symfony), WSO2, 미드포인트(midPoint)다.
보상금은 최소 2만 8천 달러에서 최대 10만 3천 달러가 될 예정이다. 일부는 올해 여름까지만 진행되지만 대부분은 올해 말까지 취약점 보고서를 접수 받을 것이라고 한다. 일부는 2020년 말까지 진행되는 것도 있다.
가장 높은 보상금이 약속된 것은 푸티와 드루팔이다. 푸티를 대상으로 한 버그바운티는 2019년 12월 15일까지 진행될 예정이며, 드루팔은 2020년 10월 15일까지 지속된다. 드루팔 버그바운티는 15개 버그바운티 중에서 가장 길다. 취약점을 찾은 사람들이라면 해커원(HackerOne)이나 딜로이트의 인티그리티(Intigriti) 보안 플랫폼을 통해 보고서를 제출할 수 있다. 상세 내용은 이 페이지(https://juliareda.eu/2018/12/eu-fossa-bug-bounties/)의 중간에 나오는 표를 통해 확인이 가능하다.
FOSSA는 2015년과 2016년 동안 유럽평의회에서 사용하고 있는 무료 소프트웨어를 전수 조사해 목록화 하는 작업을 진행했다. 또한 이런 소프트웨어의 개발자들이 어떤 식으로 보안을 도모하고 있고, 보안 감사는 어떤 식으로 진행되고 있는지에 대한 조사도 이 기간 동안 이뤄졌다. 아파치 웹서버와 키패스 비밀번호 관리자에 대한 실제 감사도 진행됐다.
그것이 사전작업이었다면 2017년부터 FOSSA는 본격적으로 제2기 사업에 착수했다. 이 사업은 총 3년에 걸쳐 진행될 예정으로 버그바운티도 그 속에 포함된다. VLC를 가지고 진행한 실험은 2018년에 이미 완료됐다.
보안 업체 엘라스틱(Elastic)에서 제품 보안을 책임지고 있는 조시 브레서즈(Josh Bressers)는 “버그바운티를 시작한 것 자체는 환영할 만한 일이나, 아직 이걸로는 부족하다”고 지적했다. “무료 소프트웨어에 대한 보안 장치가 필요한 시점이기도 했고, 이에 대한 대대적인 투자가 이뤄져야 하는 타이밍이었습니다. 아마 이번 버그바운티의 결실이 적지는 않을 겁니다. 하지만 이미 우리에게 알려진 오픈소스 취약점들이 산적해 있는 상황이라는 걸 기억해야 합니다. 새로운 취약점을 찾아내는 것도 좋지만, 여태까지 찾아내고도 해결하지 못한 수많은 오류들부터 해결해야죠.”
브레서즈는 “앞으로 FOSSA가 어떤 프로젝트를 벌일지, 또한 지금의 버그바운티를 어떤 모양새로 이끌어 갈지는 모르겠지만, 가장 마지막에는 프레임워크가 탄생할 것이라는 건 확신한다”고 말한다. “여러 다양한 단체들이 오픈소스 프로젝트에 대한 예산을 지원할 수 있도록 하는 프레임워크일 것”이라고 브레서즈는 보고 있다. “그 지원자들은 정부 기관일수도, 민간 기업일수도, 심지어 한 명의 개인일 수도 있습니다. 결국 누구나 사용 가능한 오픈소스인 만큼 누구나 보호에 참여하게 될 것이라는 뜻입니다.”
3줄 요약
1. 유럽연합, 오픈소스 소프트웨어 보호를 위한 버그바운티 시작.
2. 총 15개 소프트웨어에 대한 버그바운티. 14개는 1월부터, 1개는 3월부터 시작.
3. 하지만 새 취약점 발견만큼 기존 취약점 해결하는 것도 중요하다는 지적 나옴.
[국제부 문가용 기자(globoan@boannews.com)]
1월부터 시작되는 것이 14개, 나머지 하나는 3월부터...그간 발견된 취약점은?
[보안뉴스 문가용 기자] 유럽연합이 새로운 버그바운티를 시작하며 1백만 달러에 가까운 돈을 상금으로 내걸었다. 연구 대상이 되는 것은 현재 널리 사용되고 있는 무료 오픈소스 소프트웨어 프로젝트 15개다. 여기서 취약점들을 찾아낼 수 있다면 상금을 차지할 수 있다.
[이미지 = iclickart]
이에 대한 발표는 독일의 줄리아 레다(Julia Reda)라는 유럽평의회 독일 측 대변인이 맡았다. 레다 의원은 여러 다른 의원들과 함께 FOSSA라는 프로젝트를 창립한 바 있는 인물이다. FOSSA란 Free and Open Source Software Audit의 준말로, ‘무료 오픈소스 소프트웨어 감사’라는 뜻이다.
FOSSA는 2014년에 시작된 프로젝트로 유럽연합 집행위원회가 운영하고 있다. 당시 큰 화젯거리가 되었던 하트블리드(Heartbleed) 취약점이 오픈SSL에서 발견됨에 따라, 오픈소스 툴들에 대한 보안 대응책으로 마련된 것이다. 버그바운티, 감사, 해카톤 등의 다양한 프로그램을 진행함으로써 인터넷 전체의 보안을 높인다는 것이 이 프로젝트의 목표다.
그런 FOSSA가 이번 달부터 14개의 버그바운티를 새롭게 시작한다. 나머지 하나는 3월부터 시작이다. 대상이 되는 무료 소프트웨어는 파일질라(Filezilla), 아파치 카프카(Apache Kafka), 아파치 톰캣(Apache Tomcat), 노트패드++(Notepad++), 푸티(PuTTY), VLC, 플럭스 TL(FLUX TL), 키패스(KeePass), 7-Zip, 디지털 시그니처 서비스(Digital Signature Services), 드루팔(Drupal), glibc, PHP 심포니(PHP Symfony), WSO2, 미드포인트(midPoint)다.
보상금은 최소 2만 8천 달러에서 최대 10만 3천 달러가 될 예정이다. 일부는 올해 여름까지만 진행되지만 대부분은 올해 말까지 취약점 보고서를 접수 받을 것이라고 한다. 일부는 2020년 말까지 진행되는 것도 있다.
가장 높은 보상금이 약속된 것은 푸티와 드루팔이다. 푸티를 대상으로 한 버그바운티는 2019년 12월 15일까지 진행될 예정이며, 드루팔은 2020년 10월 15일까지 지속된다. 드루팔 버그바운티는 15개 버그바운티 중에서 가장 길다. 취약점을 찾은 사람들이라면 해커원(HackerOne)이나 딜로이트의 인티그리티(Intigriti) 보안 플랫폼을 통해 보고서를 제출할 수 있다. 상세 내용은 이 페이지(https://juliareda.eu/2018/12/eu-fossa-bug-bounties/)의 중간에 나오는 표를 통해 확인이 가능하다.
FOSSA는 2015년과 2016년 동안 유럽평의회에서 사용하고 있는 무료 소프트웨어를 전수 조사해 목록화 하는 작업을 진행했다. 또한 이런 소프트웨어의 개발자들이 어떤 식으로 보안을 도모하고 있고, 보안 감사는 어떤 식으로 진행되고 있는지에 대한 조사도 이 기간 동안 이뤄졌다. 아파치 웹서버와 키패스 비밀번호 관리자에 대한 실제 감사도 진행됐다.
그것이 사전작업이었다면 2017년부터 FOSSA는 본격적으로 제2기 사업에 착수했다. 이 사업은 총 3년에 걸쳐 진행될 예정으로 버그바운티도 그 속에 포함된다. VLC를 가지고 진행한 실험은 2018년에 이미 완료됐다.
보안 업체 엘라스틱(Elastic)에서 제품 보안을 책임지고 있는 조시 브레서즈(Josh Bressers)는 “버그바운티를 시작한 것 자체는 환영할 만한 일이나, 아직 이걸로는 부족하다”고 지적했다. “무료 소프트웨어에 대한 보안 장치가 필요한 시점이기도 했고, 이에 대한 대대적인 투자가 이뤄져야 하는 타이밍이었습니다. 아마 이번 버그바운티의 결실이 적지는 않을 겁니다. 하지만 이미 우리에게 알려진 오픈소스 취약점들이 산적해 있는 상황이라는 걸 기억해야 합니다. 새로운 취약점을 찾아내는 것도 좋지만, 여태까지 찾아내고도 해결하지 못한 수많은 오류들부터 해결해야죠.”
브레서즈는 “앞으로 FOSSA가 어떤 프로젝트를 벌일지, 또한 지금의 버그바운티를 어떤 모양새로 이끌어 갈지는 모르겠지만, 가장 마지막에는 프레임워크가 탄생할 것이라는 건 확신한다”고 말한다. “여러 다양한 단체들이 오픈소스 프로젝트에 대한 예산을 지원할 수 있도록 하는 프레임워크일 것”이라고 브레서즈는 보고 있다. “그 지원자들은 정부 기관일수도, 민간 기업일수도, 심지어 한 명의 개인일 수도 있습니다. 결국 누구나 사용 가능한 오픈소스인 만큼 누구나 보호에 참여하게 될 것이라는 뜻입니다.”
3줄 요약
1. 유럽연합, 오픈소스 소프트웨어 보호를 위한 버그바운티 시작.
2. 총 15개 소프트웨어에 대한 버그바운티. 14개는 1월부터, 1개는 3월부터 시작.
3. 하지만 새 취약점 발견만큼 기존 취약점 해결하는 것도 중요하다는 지적 나옴.
[국제부 문가용 기자(globoan@boannews.com)]
<저작권자: 보안뉴스(www.boannews.com) 무단전재-재배포금지>
 TH.jpg)
 th.jpg)
.jpg){kind=small}
.jpg){kind=small}
.jpg){kind=small}
.jpg){kind=small}
.JPG){kind=small}
.jpg){kind=small}
.jpg){kind=small}
.jpg){kind=small}
.jpg){kind=small}
.jpg){kind=small}
.jpg){kind=small}
