세계 보안 엑스포  전자정부 솔루션 페어  개인정보보호 페어  국제 사이버 시큐리티 컨퍼런스  세계 태양에너지 엑스포  스마트팩토리  세계 다이어트 엑스포  INFO-CON
커져가는 버그바운티 플랫폼, 누가 활동하고 있을까?
  |  입력 : 2017-12-08 09:38
페이스북 보내기 트위터 보내기 네이버 밴드 보내기 카카오 스토리 보내기
‘화이트 해커’의 여섯 가지 유형...지식 추구형부터 초심자까지
세계 곳곳에 적은 수입이라도 필요한 ‘프리랜서’ 해커들 많아


[보안뉴스 문가용 기자] 일반 대중들은 ‘해커’라는 말에 어떤 그림을 떠올릴까? 아마 ‘범죄’ 혹은 그와 유사한 행위자들을 떠올릴 것이다. 각종 정부 기관이나 유명 대기업 혹은 은행의 네트워크에 잠입하여 일확천금을 소리소문 없이 뚝딱 가져가버리는 그런 영화 속 악당들처럼 말이다. 조금 더 관심 있는 사람들이라면 중국, 러시아, 이란, 북한과 같은 나라가 떠오를 수도 있다.

[이미지 = iclickart]


‘해커’라는 단어 하나에 이렇게 수많은 부정적인 생각들이 떠오르는 가운데, 화이트 해커라는 말이 조용히 정착하고 있는 분위기다. 이들은 일반 범죄형 해커들과 비슷한 ‘기술’을 발휘하지만, 정확히 반대편에서 좋은 의도를 가지고 일하는 사람들을 말한다. 굳이 보안 업체에 속하거나 기업 내 보안을 책임지지 않더라도 프리랜서로서 여러 조직들을 도와 보안을 강화시킨다. 물론 화이트 해커라는 명칭 자체에 대한 논란은 아직도 뜨겁다.

이런 사람들의 또 다른 수익처는 버그바운티다. 버그크라우드(Bugcrowd)나 해커원(HackerOne) 등의 버그바운티 플랫폼은 이들의 주요 커뮤니티이기도 하다. 여기서 합법적인 해킹 프로젝트를 찾고, 작업을 진행해 상금을 받는다. 일할 곳이 생기고, 돈 벌 곳이 생기니, 음지에 있던 해커들도 섞여든다는 우려도 있지만, 일각에선 오히려 그들을 양지로 끌어올리는 효과를 기대하기도 한다.

버그크라우드의 수석 커뮤니티 관리자인 샘 휴스턴(Sam Houston)은 “버그바운티와 관련된 커뮤니티를 둘러보면 어디에도 소속되지 않았지만 해킹 기술을 보유하고 있는 사람들이 도처에 있다는 걸 알게 된다”고 말한다. “물론 버그크라우드 등에서 활동하는 사람들 대부분 미국과 인도 출신입니다. 그런데 최근 들어서는 이집트, 모로코, 터키 출신 ‘화이트 해커’들이 유입되고 있습니다. 이런 지역에 사는 사람들은 비싸고 유명한 버그를 찾을 필요가 없어요. 한 달에 300달러짜리 버그만 몇 개 찾아내도 괜찮죠. 하지만 그런 수입원이 없다면 범죄에 빠져들기 쉽습니다.”

최근 버그크라우드는 ‘화이트햇 해커’들의 유형을 여섯 가지로 분류해 ‘해커의 속마음 2.0(Inside the Mind of a Hacker 2.0)’이라는 보고서를 발표했다. 점점 버그바운티 산업으로 몰려들고 있는 ‘해킹 기술 보유자’들이 어떠한 사람인지 파악하기 위해서였다고 한다. 여기에 또 다른 버그바운티 플랫폼인 해커원(HackerOne)과의 인터뷰를 더해 최근 해외 버그바운티 시장에서 활동하는 능력자들을 분류해보았다.

1. 지식을 갈구하는 자
‘지식 갈구형’이 버그바운티 세계에 대거 모습을 나타낸 건 2년도 되지 않았다. 이들은 끊임없이 뭔가를 알아내고 배우고자 한다. 이런 유형의 특징은 지급받은 상금을 새로운 개발 프로젝트나 보안 툴 개발에 투자한다는 것이다(63%). 이들에게 있어 버그바운티 활동은 새로운 ‘알 거리’를 찾아 나서고 새로운 항로를 개척하는 일이다. 그래서 재미있고 자꾸 더 하게 된다.

놀라운 건 나이 때다. 지식 갈구형으로 분류되는 화이트 해커 중 69%가 18~29세 사이에 분포해 있다. 가장 젊은 부류 중 하나다. 또한 56%는 최소 학사 학위를 보유하고 있고, 23%는 대학 생활 중이다. 이들은 ‘보안’이란 것에 진지하게 접근하며, 따라서 자신들의 능력을 범죄에 활용할 가능성이 낮다. 29%는 침투 테스터가 되고 싶어 하고, 27%는 풀타임으로 버그헌터가 되기를 꿈꾼다.

2. 취미 활동가
이들은 남는 시간을 좀 더 생산성 있게 사용하고 싶어 하는 부류다. 버그바운티 활동을 부업처럼 여긴다. 그렇다고 주경야독 하듯 어렵게 하는 건 아니다. 재미있어서 남는 시간을 투자하는 것이다. 버그크라우드의 휴스턴은 “아주 자연스럽게 이 계통으로 흘러들어온 부류”라고 하며 가장 큰 유입 요인을 “재미와 스릴”이라고 꼽는다. 이들은 버그바운티 플랫폼 사용자들 중 가장 경험이 많다. 65%가 1년 이상 버그바운티 관련 활동을 이어온 사람들이다.

버그크라우드에 의하면 ‘취미 활동가’ 부류의 66%는 18~29세이고, 9%는 18세도 되지 않은 미성년자다. 상금은 학비로 사용하는 경우가 많다. ‘보안’을 가볍게 여기지 않고, 실제로 70%가 보안 업계에서 근무해본 경험을 가지고 있다. 52%는 근무 경험이 3년을 넘기도 한다. 버그 사냥꾼을 전문으로 해보고 싶어 하는 이는 34%였다.

3. 풀타임 사냥꾼
풀타임 사냥꾼이란 버그 헌팅만으로 먹고 사는 사람들을 말한다. 이런 부류 중 43%는 일주일에 21시간 이상 버그 헌팅에 투자한다. 이들이 버그 헌팅을 하는 이유는 딱 하나, 돈이다. 이들은 버그를 찾아 먹을 것을 사고 집세를 내고 옷을 사고 친구를 만난다. 버그바운티를 기웃거리는 사람들 중에 가장 경험이 풍부한 편에 속하며, 그야말로 ‘프로급’ 사냥꾼들이다. 보안 업체에서 실제 3년 이상 근무한 사람이 47%이며, 특정 소프트웨어나 기기를 목표로 삼아 취약점을 찾아내는 걸 전문으로 한다. 다방면에서 뛰어나기도 하지만, 나름의 전문분야도 갖추고 있다는 것이다.

4. 고도의 기교가
이들은 보안 전문가 혹은 화이트 해커 사이에서 두각을 나타내고 싶어 한다. 버그를 찾아내는 데에 있어 타의 추종을 불허하며, 이미 커뮤니티 내에서 꽤나 유명세를 타고 있거나, 타려고 하는 중인 사람이 많다. 버그크라우드는 이 부류가 기술적으로 “가장 뛰어나다”고 말한다. 55%가 보안 업계에서 3년 이상 근무했으며, 29%는 5년 이상 업계에 몸담고 있었다.

이들은 그러나 풀타임 버그 사냥꾼이 되고 싶어 하지는 않는다. 거의 대부분은 세계적인 대기업이나 명망 높은 보안 회사의 보안 책임자 혹은 수석 엔지니어가 되고 싶어 한다. 그러므로 버그바운티는 이들에게 있어 좀 더 기술을 갈고 닦는 장이며 기회이다. 여기서 유명해지고 싶어 하는 것도 다 훗날의 취업을 위해서다. 그래서 52%가 난이도를 기준으로 버그바운티 과제를 고르고(어려울수록 선호한다), 70%는 상금을 더 나은 보안 툴을 구매하거나 자기 계발을 하는 데에 사용한다.

5. 보호자
보호자 부류에 속하는 화이트 해커들은 풀타임 버그 사냥꾼이 되고 싶어 한다. 그렇지만 그것이 버그바운티 활동의 가장 큰 동기는 아니다. 이들은 좀 더 대의명분에 따라 움직인다. 즉, 인터넷을 누구에게나 안전한 공간으로 만들고자 하는 데에 목적이 있다. 수익의 많은 부분을 기부 활동에 쓰기도 한다. 기부금만 치면 여섯 가지 부류 중 압도적으로 선두에 있다고 한다. 74%가 18~29세이며, 19%는 30~44세다.

6. 초심자
의외의 사실. 버그바운티에 도전하는 전문가들이 전부 프로 실력자는 아니다. 해킹에 관심이 있어서 버그바운티 커뮤니티에 얼굴을 들이미는 사람들이 많다. 잘 하는 사람들이 몰리는 곳에서 뭔가 더 배워보고 싶어 오는 것이다. ‘화이트 해커’라고 자처하는 사람들의 75%는 독학으로 기술을 연마했다고 버그크라우드는 말한다. “해킹을 공식적으로 가르쳐주는 데는 극히 드물죠. 아무래도 ‘범죄 양성소’ 느낌이 나니까요.” 그래서 해커원은 최근 캘리포니아 버클리대학 측과 협조하여 ‘사이버전쟁’과를 개설하고 학생들에게 기본적인 해킹 기술을 가르쳐주고 있다.
[국제부 문가용 기자(globoan@boannews.com)]

Copyrighted 2015. UBM-Tech. 117153:0515BC
<저작권자: 보안뉴스(www.boannews.com) 무단전재-재배포금지>

#버그   #바운티   #플랫폼   #화이트   #해커   #보안    #전문가   #음지    #양지   


비츠코리아 파워비즈시작 2017년7월3일파워비즈 배너
설문조사
2017년은 3분기까지 침해사고 수가 2016년 전체 침해사고 수를 앞지르는 등 급증하는 침해사고로 신기록을 세운 해입니다. 지난 한 해 동안 발생한 침해사고 중 가장 심각한 유형은 무엇이라고 생각하시나요?
기업의 개인정보 및 신용정보 유출 ex) 에퀴팩스 사태
한국을 겨냥한 북한의 사이버 공격 ex) 하나투어 등
가상(암호)화폐 탈취 위한 사이버 공격 ex) 거래소 해킹, 피싱 이메일 등
대규모 랜섬웨어 공격 ex) 워너크라이, 낫페트야
공공 클라우드 설정 오류 및 보안 미비로 인한 사고 ex) AWS, 구글 그룹스
사물인터넷 보안 미비로 인한 침해사고 ex) IP 카메라 해킹
기타(댓글로)