Home > 전체기사
식을 줄 모르는 버그바운티의 인기, 10월에만 160만 달러
  |  입력 : 2019-11-12 12:12
페이스북 보내기 트위터 보내기 네이버 밴드 보내기 카카오 스토리 보내기
버그바운티 플랫폼인 버그크라우드의 10월 활동 집계했더니...신기록 수립되기도
2년 동안에 이뤄진 폭발적인 성장...인도인 보안 전문가들의 성장 가장 눈에 띄어


[보안뉴스 문가용 기자] 버그바운티로 널리 알려진 크라우드소스 버그 공개 프로그램의 인기가 떨어질 줄을 모른다. 버그바운티 플랫폼인 버그크라우드(Bugcrowd)의 경우, 10월 한 달 동안만 전 세계 550명 보안 전문가들에게 160만 달러를 지불했다고 한다. 이 550명은 버그크라우드와 협약 관계에 있는 기업들의 제품과 서비스에서 한 달 동안 6500개의 취약점을 찾아냈다.

[이미지 = iclickart]


이 중 51만 3천 달러는 지난 한 주 동안에만 나간 것이다. 2011년 버그크라우드가 탄생한 뒤로부터 가장 높은 1주치 상금로 기록됐다. 이 1주일 동안 가장 큰 상금을 받은 단일 보안 전문가는 한 자동화 소프트웨어 제품에서 취약점을 찾아낸 것으로 4만 달러를 거머쥐는 데 성공했다고 한다.

한 달 동안 제출된 6500개 취약점들 중 300개는 버그크라우드 자체 취약점 등급 시스템에서 P1을 차지했다. P1 등급은 가장 위험하고 시급하게 해결해야 할 취약점들에 주어진다. 이터널블루(EterbalBlue), 블루킵(BlueKeep), 아파치 스트러츠(Apache Struts)와 같은 유명 취약점들이 P1에 속한다. 권한 상승, 원격 코드 실행, 금융 탈취, 민감 정보 노출 등으로 이어지는 취약점들이 대다수였다고 버그크라우드의 부회장인 데이비드 베이커(David Baker)는 설명한다.

이번 달에 집계된 이러한 숫자들은 5년 전과 비교했을 때 엄청나게 큰 수준이다. 5년 전 10월, 버그크라우드는 총 85명에게 3만 달러를 상금으로 지급했었다. 이 달 제출된 버그들 중 치명적으로 위험한 건 단 5개였다. 또한 올해 10개월 동안 버그바운티로 지급된 금액은 작년에 비해 80%나 높다고 한다. 작년과만 비교해도 훨씬 많은 보안 전문가들이 버그바운티에 참여해 취약점을 찾아내고 있다는 것이다. “단기간에 이렇게나 큰 변화라니, 저희로서도 흥분되지 않을 수 없습니다.”

버그크라우드를 비롯해 해커원(HackerOne)이나 사이낵(Synack) 등과 같은 일명 ‘버그바운티 플랫폼’의 인기가 갈수록 높아지고 있다. 크고 작은 회사들이 이러한 플랫폼에 등록되어 있으며, 프리랜서 버그 헌터들이 자신들의 제품과 서비스를 마음껏 찔러보게 하고 있다. 기업들은 내부 인원만으로는 찾을 수 없는 보안 취약점을 낮은 비용으로 찾아낼 수 있게 되고, 보안 전문가들은 적지 않은 수익을 올릴 수 있다.

“보고되는 취약점의 수가 굉장히 많습니다만, 거의 대부분은 중간급 혹은 저위험군으로 분류됩니다. 당연하지만 치명적 위험도를 가진 취약점이 저위험군보다 많이 발견되지는 않습니다. 일단 치명적으로 위험한 취약점은 찾는 것 자체가 대단히 어렵습니다. 따라서 현재까지 저희가 지출한 상금에서 가장 많은 부분은 중간급 위험도를 가진 취약점이 차지했습니다.”

그렇다는 건 버그 제출 시 해커들이 받아가는 평균 금액이 그리 높지는 않다는 뜻이 된다. “버그 제출 한 번 할 때의 평균 상금이 900달러 정도 됩니다. 하지만 치명적인 위험도를 가진 취약점, 즉 P1으로 분류된 취약점은 한 건에 평균 3천 달러 정도를 상금으로 수여합니다. 자동차 시스템과 관련된 공격 기술은 다른 산업보다 조금 더 가치가 높다고 볼 수 있습니다.” 베이커의 설명이다.

버그크라우드가 창립한 이래 지금까지 제출된 취약점은 30만 개가 넘는다. 작년 한 해 동안 제출된 버그의 수만 해도 그 전해의 두 배를 웃돌았다. 베이커는 “최근 들어 버그바운티 프로그램에 대한 보안 전문가들의 관심이 숨가쁘게 증가하고 있다”고 설명한다. “전 세계적으로 버그바운티 플랫폼에 등록하는 보안 전문가들의 수도 빠르게 늘어나고 있습니다.”

가장 참여도가 높은 보안 전문가들은 미국(30%)인들이다. 그 뒤로 인도인, 영국인이 차례로 높은 비율을 차지하고 있다고 버그크라우드 측은 설명한다. “지난 2년 동안 인도인 해커들이 폭발적으로 늘어났습니다. 게다가 숫자만 늘어난 게 아닙니다. 기술적인 측면에서도 인도 해커들을 주목할 수밖에 없게 합니다. 앞으로 인도 출신이거나 인도에서 공부한 보안 전문가들이 대거 등장할 것으로 예상됩니다.”

3줄 요약
1. 버그크라우드의 인기, 갈수록 높아짐.
2. 특히 요 몇 년 간 활동하는 해커들의 수와 지출된 상금은 폭발적으로 늘어남.
3. 현재까지는 미국인이 가장 많고, 그 뒤를 인도인들이 바짝 추격.

[국제부 문가용 기자(globoan@boannews.com)]

<저작권자: 보안뉴스(www.boannews.com) 무단전재-재배포금지>

  •  
  • 0
  • 페이스북 보내기 트위터 보내기 네이버 밴드 보내기 카카오 스토리 보내기


  •  SNS에서도 보안뉴스를 받아보세요!! 
넷앤드 파워비즈 진행 2020년1월8일 시작~2021년 1월8일까지위즈디엔에스 2018파워비즈배너 시작 11월6일 20181105-20200131
설문조사
데이터3법 통과로 데이터 보안의 중요성이 더욱 커지고 있는 가운데 귀사에서 사용하고 있는 DB암호화 솔루션의 만족도는 어느 정도인가요?
매우 만족
만족
보통
불만족
당장 바꾸고 싶다
올해 도입 예정
필요성을 못 느낀다
기타(댓글로)