버그바운티 플랫폼의 해커원, 직원 한 명 때문에 신뢰 크게 잃을 뻔

유명 버그바운티 플랫폼인 해커원의 직원 한 명이 자신의 위치를 악용해 여러 버그 리포트를 가로챘다. 다행히 해커원이 빠르게 대처하면서 일이 커지지는 않았고, 오히려 업계 전문가들로부터 칭찬을 듣는 상황이다.

[보안뉴스 문가용 기자] 버그바운티 플랫폼 해커원(HackerOne)이 직원 한 명을 해고했다. 해커원 고객들이 난 취약점 보고서를 가로채 자기 이름으로 제출한 후 상금을 차지하려 했기 때문이다. 해커원의 취약점 공개 절차와 구조를 악용한 것으로, 해커원의 신뢰도를 하락시키는 결과를 낳았다. 물론 해커원의 빠른 대처 덕분에 신뢰도가 대단히 하락했을 거라고 보이지 않는다고 업계는 평가하고 있다.

[이미지 = utoimage]

해커원이 이 악성 내부자에 대해 알게 된 건 한 고객사의 제보 덕분이었다. 6월 해커원이 아닌 다른 버그바운티 플랫폼에서 공개된 취약점이 뭔가 이상하다는 것이다. 이 고객은 해커원으로부터 취약점 제보를 받아 자신들의 서비스와 제품을 보완하던 기업이었다. 해커원의 고객들은 보통 이런 식으로 해커원 플랫폼을 이용한다. 해커원을 통해 버그리포트를 받고, 그 대가로 상금을 제공하는 식 말이다. 이 고객사는 “한 보안 전문가가 익명으로 연락해 왔는데, 그 내용이 얼마 전 다른 보안 전문가가 해커원에 제출한 취약점 보고서와 매우 비슷하다”고 해커원 측에 알렸다.

물론 두 명 이상의 취약점 연구자들이 우연히 같은 취약점을 발굴해내는 일이 버그바운티 세계에서 드문 일은 아니다. 하지만 이 고객사는 여러 가지 면에서 수상함을 느꼈다고 한다. “버그 제보자는 rzlr이라는 이름을 사용했는데, 취약점 정보를 서로 소통하는 데 있어 매우 협박적인 어투와 언어를 구사했다고 합니다. 보통 보안 전문가들은 그런 식으로 말하지 않거든요.” 해커원 측의 설명이다.

악성 내부자
해커원은 고객의 상세한 제보를 받고 본격적인 조사를 시작했는데, 의외로 많은 고객들이 비슷한 방식으로 취약점 제보를 받았다는 사실이 드러나기 시작했다. 여러 가지 시나리오를 검토하던 중 누군가 해커원의 취약점 데이터에 접근하고 있음이 점점 더 분명해 보였다. 내부 시스템이 침해되었을 수도 있고, 누군가 외부에서부터 주요 데이터 서버에 백도어를 심었을 수도 있었다. 아니면 단순 설정 오류가 어디엔가 있을 수 있었다. 그런 모든 시나리오를 검토했고 조사했다. 그러면서 결국 내부의 누군가가 악의적으로 움직이고 있다는 결론에 도달했다.

그래서 해커원은 취약점 정보에 대한 내부 직원의 로그 데이터를 조사하기 시작했다. 그러자 딱 한 명이 위에서 언급된 ‘수상한 제보를 받았다’는 모든 고객사의 취약점 정보에 접근했다는 사실이 드러났다. 고객사에서 수상하다는 연락을 받고서 24시간이 지나지 않아 악성 내부자에까지 도달했고, 해당 인물의 시스템 접근 권한을 전부 삭제했다. 또한 해당 인물이 원격 근무에 사용하던 랩톱도 전부 잠그고 수사를 계속해서 이어갔다.

알고 보니 해당 직원은 가상의 인물로 위장하여 해커원에 따로 계정을 만들었다. 그리고 회사 내부로 들어오는 취약점 보고서에 접근하고, 그 내용을 가로 채 해당 계정을 통해 제출했다. 상금 역시 그 계정으로 받으려 했던 것으로 밝혀졌다. 이 직원의 네트워크 트래픽을 조사하면서 이러한 행위와 가짜 계정 모두 그대로 드러났다.

신뢰를 뒤흔들다
보안 업체 벌칸 사이버(Vulcan Cyber)의 수석 기술 엔지니어인 마이크 파킨(Mike Parkin)은 이 사건은 해커원과 같은 플랫폼에 있어 치명적으로 작용할 수 있다고 말한다. “해커원과 같은 버그바운티 플랫폼은 신뢰가 세상에서 제일 중요합니다. 취약점은 매우 민감한 정보고, 이 정보를 가진 사람과 필요로 하는 사람을 연결하려면 가운데 매개가 되는 플랫폼이나 시스템에 대한 신뢰가 없으면 안 되죠. 해커원 만이 아니라 모든 버그바운티 플랫폼에서 가장 중요한 게 바로 이 신뢰입니다. 한 연구원의 연구 결과를 누군가 가로챘다? 그런 일이 어떤 플랫폼에서 발생했다? 플랫폼의 근간이 흔들리는 일이죠.”

그러면서 파킨은 “해커원이 이런 상황에서 아주 적절한 조치를 모범적으로 취했다고 생각한다”고 말한다. “조사를 아주 빠르게 진행했고, 그 결과를 투명하게 공개했습니다. 사건이 일어나지 않았다면 제일 좋았겠지만, 사건이 일단 벌어진 상황에서는 할 수 있는 최고의 일을 했습니다. 물론 여기서 끝이 아닙니다. 취약점 정보 접수와 제보, 상금 수여 시스템 등을 재점검하고 보강해야겠죠. 그 결과 역시 투명하게 알려야 하겠고요.”

문제의 직원은 4월부터 근무를 시작한 것으로 알려져 있다. 그리고 총 7개의 고객사에 연락을 해 취약점을 협박조로 제보했다. 해커원은 이 사건을 모든 고객들에게 알리며 비슷한 사건이 있다면 알려달라고 요청했다. “다행인 점은 상금을 받아야 할 사람이 못 받는 일은 없었다는 겁니다. 제보를 받은 회사들 전부 중복 제보로 인지해 상금을 내보내지 않았습니다. 원 연구원들 모두 제대로 받아야 할 상을 받았습니다.”

한편 해커원 측은 이번 사건을 통해 자신들의 업무 프로세스 중 강화해야 할 부분을 파악할 수 있었다고 밝히기도 했다.

3줄 요약
1. 버그바운티 플랫폼의 직원 한 명, 취약점 정보를 가로챔.
2. 그리고 이를 바탕으로 기업들에 취약점 정보를 ‘협박하듯이’ 제공.
3. 수상하게 여긴 기업이 해커원에 제보하고 하루도 안 되 덜미가 잡힘.
[국제부 문가용 기자(globoan@boannews.com)]

3월 15일부터 시행되고 있는 개정 개인정보보호법과 관련해 가장 까다롭고 이행하기 어려운 조항은 무엇인가요?
	인공지능(AI) 등 자동화된 결정에 대한 정보주체 권리 구체화
	접근권한 관리 등 개인정보 안전성 확보조치 강화 및 고유식별정보 관리실태 정기조사
	영향평가 요약본 공개제도 도입 등 개인정보 영향평가제도
	영상정보처리기기 및 안전조치 기준
	개인정보 보호책임자의 전문성 강화 위한 전문CPO 지정
	국외 수집·이전 개인정보 처리방침 공개 등 개인정보 처리방침 평가제도
	손해배상책임 의무대상자 변경 및 확대
	공공기관 개인정보 보호수준 평가 확대
	기타(댓글로)