세계 보안 엑스포 전자정부 솔루션 페어 스마트팩토리 개인정보보호 페어  세계 다이어트 엑스포  세계 태양에너지 엑스포  국제 사이버 시큐리티 컨퍼런스  INFO-CON
빠르게 성장하고 있는 버그바운티 시장, 관리가 핵심
  |  입력 : 2017-02-01 16:42
페이스북 보내기 트위터 보내기 네이버 밴드 보내기 카카오 스토리 보내기
구글은 총 3억 원 지급, 페이스북은 총 5억 원
개발은 회사가, 점검은 외부인에게 맡기는 모양새...기업에겐 편리


[보안뉴스 문가용 기자] 버그바운티가 논란 속에 있던 것이 엊그제 같은데, 이미 주요 기업들 사이에서는 정착 단계를 넘어선 것으로 보인다. ‘버그바운티를 했더니 성과가 좋았어요!’라는 형식적인 보도자료가 발표되는 것뿐 아니라, 버그바운티에 투자되는 금액이 갈수록 커지고 있기 때문이다.


그 중 한 기업이 다름 아닌 구글이다. 최근 구글이 발표한 자료에 의하면 구글은 지난 해 약 50개국의 350명 버그 사냥꾼들에게 총 3억 원을 지급했다고 한다. 안드로이드, 크롬을 비롯한 구글의 대표 제품 및 서비스에서 이들이 발견한 취약점은 1000개가 넘어간다고 한다. 3억 원은 그 전 해인 2015년 구글이 버그바운티로 지불한 2억 원에 비해 50%나 증가한 수치다. 2014년엔 1억 5천만 원을 지급하기도 했다.

구글만 이런 움직임을 보이고 있다면 구글만의 독특한 방식이라고 볼 수 있지만, 그렇지 않다. 지난 10월, 페이스북은 버그바운티 참가자들에게 총 5억 원을 지급했다고 발표했다. 대부분 인도와 미국, 멕시코에 있는 전문가들이라고 했다. 페이스북은 2016년 전반기에만 약 9천 개의 버그 관련 신고를 접수했고, 총 149명의 버그 사냥꾼들에게 6억 1천만 원을 지급했다고 한다.

버그바운티 프로그램을 대행해주는 서비스도 생겼다. 바로 버그크라우드(Bugcrowd)다. 버그크라우드는 작년에만 약 9천개의 취약점을 다양한 고객들로부터 발견해 고치게 했다. 버그크라우드의 ‘다양한 고객’들로는 피아트 크라이슬러, 웨스턴 유니온, 핏비트 등이 있다. 하지만 보안 전문가들은 버그크라우드가 실제 발표하는 것보다 더 많은 버그 관련 거래가 발생한다고 보고 있다.

보안 전문업체인 SANS의 존 페스카토어(John Pescatore)는 “버그바운티의 효율성이 증명되기 시작하면서 많은 기업들이 관심을 보이고 있는 추세”라고 설명한다. “이를테면 개발은 업체가 직접 하되, 그에 대한 보안 점검을 외부 전문가들에게 시키는 것이죠. 기업 입장에서는 편리하다고 생각할 수밖에 없어요. 어차피 드는 돈이 똑같다고 해도 말이죠.”

외부 전문가 입장에서도 ‘남의 약점’을 캐는 일과 같아서 버그바운티에 참여하는 게 은근히 흥미롭다고 존은 설명한다. “누군가 당신에게 장난감을 주면서 ‘망가트려 보시오’라고 부탁하는 것과 같아요. 게다가 돈까지 쥐어주면서요. 기술적으로 뭔가를 해부해서 약점을 찾아내면, 그걸 처음 만들어낸 사람보다 우위에 있는 것 같은 기분도 느끼게 해줍니다.”

버그바운티 시장이 커가고, 해커톤 같은 유사 프로그램이 생기면서 취약점 발견에 대한 대가가 거의 반드시 발생하는 현상도 버그바운티 프로그램의 질을 높여준다. “하지만 버그바운티를 시작하려는 의도조차 없는 기업에 침투해 취약점을 찾아 나서는 건 불법입니다. 이는 보안 전문가들을 위축시키는 요소로 작용하기도 합니다.”

현재 구글은 네스트(Nest)와 구글 온헙(Google OnHub), 나바(Nava)와 같은 서비스들에 대한 버그바운티도 진행 중에 있다. “버그바운티는 보안 강화를 위한 효과적인 프로그램임이 분명합니다. 또한 책임감 있는 버그 공개 문화 확산에도 도움이 됩니다. 하지만 외부 전문가를 불러들이는 것인 만큼 기획과 관리가 철저히 이루어져야 하겠죠. 리스크 관리만 잘 된다면 버그바운티는 언제나 권장할 만한 프로그램입니다.” 보안 전문가인 피트 린드스트롬(Pete Lindstrom)이 핵심을 지적한다.
[국제부 문가용 기자(globoan@boannews.com)]

Copyrighted 2015. UBM-Tech. 117153:0515BC
<저작권자: 보안뉴스(www.boannews.com) 무단전재-재배포금지>



5월 9일 대통령 선거 이후, 차기 정부의 사이버보안 정책 및 산업 육성은 어디서 총괄해야 한다고 보시나요?
별도의 ICT 전담부처(미래창조과학부, 정보통신부 등)
별도의 사이버보안 전담부처(사이버보안청 등)
대통령 직속 위원회 또는 대통령실 산하 별도조직
사이버보안 정책은 전담부처, 산업 육성은 산업통상자원부로 이원화
국가정보원
기타(댓글로)