세계 보안 엑스포 전자정부 솔루션 페어 스마트팩토리 개인정보보호 페어  세계 다이어트 엑스포  세계 태양에너지 엑스포  국제 사이버 시큐리티 컨퍼런스  INFO-CON
잇단 버그바운티 금액 인상 발표로 보는 시장 현황
입력날짜 : 2017-03-21 11:03
트위터 보내기  페이스북 보내기  네이버 밴드 보내기  싸이월드 공감 보내기  카카오 스토리 보내기  구글 보내기   
상금 평균 액수와 총액 전부 올라가...참여 기업도 더 다양해져
버그에 대한 가격도 점점 안정적으로 책정되기 시작해


[보안뉴스 문가용 기자] 이번 달 초, 구글은 원격 코드 실행과 관련된 버그를 발견한 사람에게 주는 상금을 2천만 원에서 3천 1백만 원으로 늘린다고 발표했다. 이뿐만이 아니었다. 파일 시스템이나 데이터베이스로의 불법적인 접근을 허용하는 취약점의 경우 1천만 원이었던 상금이 1천 333만 7천 원으로 올랐다. 구글 보안 프로그램 관리 책임자인 조시 아머(Josh Armour)는 버그바운티 상금이 올라가는 이유에 대해 “그만큼 버그 찾는 게 힘들어졌기 때문”이라고 말한다.


마이크로소프트도 3~5월 사이에 익스체인지 온라인(Exchange Online)과 오피스 365 어드민 포탈(Office 365 Admin Portal)에서 오류를 발견하는 사람에게 최대 3천만 원까지의 상금을 수여하겠다고 최근 발표했다. 이는 기존 상금에 비해 두 배나 높은 금액이다. 인텔 역시 최대 3천만 원에 달하는 상금을 건 버그바운티를 새롭게 시작했다. 하드웨어에서 오류를 찾을 경우 최대 3천만 원이 수여되고 펌웨어서 오류를 찾을 경우 최대 1천만 원이 수여될 예정이다. 소프트웨어 버그의 경우 최대 상금은 7백 5십만 원이다.

이런 흐름은 버그바운티 시장이 확고히 자리를 잡아가고 있다는 걸 나타내며 동시에 그만큼 보안 취약점을 찾아내는 일이 어려워지고 있다는 걸 방증한다. 버그바운티 시장에서의 주요한 변화 중 하나는 좀 더 다양한 기업들이 버그바운티를 실시한다는 것이다. 버그바운티 플랫폼인 버그크라우드(Bugcrowd)의 제이슨 해딕스(Jason Haddix)는 “지난 한 해 동안 버그바운티 프로그램의 수가 상당히 증가했다”고 설명한다.

“중요한 건 버그바운티의 수 자체도 증가했지만, 버그바운티를 실시하는 기업들의 종류가 더 다양해졌다는 겁니다. 결국 IT나 기술력으로 앞서가는 대기업들만 누릴 수 있는 특권이라는 시각이 점점 사라지고 있다고 볼 수 있습니다. 현재 버그바운티는 어떤 조직과 기업이든 할 수 있는 프로그램으로 인식되고 있습니다.” 버그크라우드에서는 최근 금융 기업들과 자동차 제조업자, 도소매 업체들과 가전제품 기업들 등이 특히나 많은 버그바운티 프로그램을 진행했다.

버그바운티 시장의 또 다른 특이점은 버그 제보자나 버그바운티 참여자의 수가 사상 최대치를 자꾸만 갱신하고 있다는 것이다. 보안 전문가의 입장에서 봤을 때 버그바운티는 자신들의 해킹 실력을 세상에 드러낼 수 있는 가장 합법적이고 올바른 방법인데, 그래서인지 호기심 가득한 보안 전문가들이 날마다 버그바운티 프로그램들로 밀려들고 있다.

버그크라우드와 비슷한 사업을 하는 해커원(HackerOne)에는 약 10만 명의 해커들이 등록되어 있다. 이 중 약 4,700명은 실제 버그바운티 상금을 받아본 경험이 있는 자들이다. 해커원의 공동 창립자인 미키엘 프린스(Michiel Prins)는 “해커원을 통해 750개가 넘는 조직이 버그바운티를 실시했고 약 4만 여개의 버그를 찾아냈다”며 “해커원에서 버그바운티를 진행하는 조직들의 75%가 24시간 내에 버그를 발견했다”고 설명한다.

“버그바운티에 참여하고 싶어하는 전문가들이 점점 늘어나고 있어요. 지난 1년 동안에만 버그크라우드에 등록된 전문가가 두 배로 늘어났기도 했고요. 국가별로 보면 인도의 전문가들이 가장 많이 여기에 참여하기 시작했습니다. 늘어난 건 인도가 1위이고, 절대적인 연구자 수치를 보면 미국과 인도가 비슷하게 제일 많습니다.” 그렇기 때문에 지불된 상금 규모도 엄청나게 늘어났다. “1년 새 237% 성장했고, 평균 상금은 66%나 인상되었습니다.”

그러나 평균 금액이 늘었다고 해서 버그바운티 참가자들의 주머니 사정이 좋아진 건 아니다. 왜냐하면 심각한 취약점을 발견하는 게 쉽지 않기 때문이다. 또 버그바운티에 걸린 상금은 보통 ‘최대 금액’이다. 가장 위험하다고 판단되는 취약점들에만 이 최대 금액이 주어지는데, 그밖에 자잘한 버그들은 훨씬 낮은 금액을 받게 되거나 아예 상금 대상이 되지 않는 경우도 있다. “결국 고치기가 쉽지 않으면 않을수록 버그바운티 상금이 올라갑니다.”

또 다른 시장의 변화라면 버그바운티가 점점 ‘공식화’되고 있다는 것이다. 비공식적으로 알음알음 진행되던 관행은 점점 사라지고 있으며, 특히 버그에 대한 상금 액수를 매기는 방법이 표준화되고 있다는 게 눈에 띄는 변화다. 해커원의 경우 ‘오류의 심각성’, ‘비슷한 버그의 존재 여부’, ‘실제적인 악영향’ 등을 고려해 상금을 결정한다고 말한다.

버그바운티는 취약점에 대한 보상이라는 측면에서 다크웹과 경쟁 구도에 놓여 있다. 다크웹과의 경쟁이 버그바운티의 목적은 아니지만, “적어도 해킹 실력을 갖춘 사람들이 양지에서 활동할 계기가 되기는 한다”고 해딕스는 설명한다. 그래서 버그크라우드는 방어적 취약점 가격 책정 모델(Defensive Vulnerability Pricing Model)이라는 걸 제공해 취약점의 ‘가치’가 얼마나 되는지 알아보게도 한다. 이를 통해 연구원들은 자신들이 얼마나 받을 수 있는지 짐작할 수 있고, 기업들은 얼마나 지불해야 하는지를 결정할 수 있게 된다.

하지만 버그바운티에 누구나 실시할 수 있는 건 아니다. 버그 탐지 및 사냥 전문업체인 블루벡터(BluVector)의 CTO인 피터 칼로루마키스(Peter Kaloroumakis)는 “결국 취약점을 발견하기 위한 방편일 뿐”이라며 “이 취약점을 해결할 여력이 되는 업체들이 진행하는 것이 좋다”고 설명한다. “즉, 패치를 빠른 시간 안에 만들어낼 수 있고, 이걸 배포할 채널을 확보한 기업들에게 어울린다는 것이죠. 그렇지 않으면 버그바운티는 그냥 보안 커뮤니티에 돈 퍼주는 것밖에 되지 않습니다.”
[국제부 문가용 기자(globoan@boannews.com)]

Copyrighted 2015. UBM-Tech. 117153:0515BC
<저작권자: 보안뉴스(www.boannews.com) 무단전재-재배포금지>

버그바운티   금액   성장   연구   다크웹                  


정보보안 관련 자격증 가운데 보안 실무에 있어 가장 필요하다고 판단되는 자격증은?
정보보안기사 및 정보보안산업기사
정보시스템보안전문가(CISSP)
정보시스템감사사(CISA)
정보보안관리자(CISM)
산업보안관리사(ISE)
정보보안관제사(ISC)
사이버포렌식전문가(CCFP)
인증심사원 자격(ISMS/PIMS/ISO27001 등)
기타(댓글로)