Home > 전체기사
확대되는 버그바운티와 크라우드소스 보안, DARPA도 참여
  |  입력 : 2020-06-10 11:03
페이스북 보내기 트위터 보내기 네이버 밴드 보내기 카카오 스토리 보내기
미국 첨단과학기술 연구소, 2017년부터 개발한 하드웨어 보안 장치 점검 나서
크라우드소스 보안 플랫폼인 사이낵과 협업...참가하려면 CTF 예선 통과해야


[보안뉴스 문가용 기자] 미국 첨단과학기술 연구소(DARPA)가 버그바운티를 시작한다. 크라우드소스 보안 관리 전문 업체인 사이낵(Synack)을 통해 7월부터 9일까지 진행되며, 첨단과학기술 연구소가 개발한 SSITH(System Security Integration Through Hardware and Firmware)를 외부 화이트 해커들이 깨도록 할 예정이다.

[이미지 = utoimage]


버그바운티 참여가 허락된 사람들은 아마존 클라우드에 호스팅 된 에뮬레이션 시스템에 접근할 수 있게 된다. 이 시스템은 SSITH 하드웨어 보안 제어 장치를 포함하고 있고, 이미 알려진 취약점을 가지고 있는 소프트웨어들을 통해 실행된다. 버그바운티 참가자들은 SSITH라는 보안 장치를 뚫고 이 소프트웨어 취약점들을 익스플로잇 해야 한다.

DARPA의 마이크로시스템 기술 책임자이자 이번 버그바운티 프로그램 담당자인 케이스 레벨로(Keith Rebello)는 “허용 권한 조작, 권한 상승, 메모리 관련 오류, 정보 노출, 코드 삽입 등의 공격을 가능하게 하는 취약점들이 마련되어 있다”고 설명한다. “이런 소프트웨어 취약점을 익스플로잇 해서 상금을 타려면, 먼저 SSITH를 깨야 합니다. 보안 전문가 및 상금 사냥꾼들의 적극적인 참여와 성공을 기원합니다.”

DARPA가 SSITH 개발에 착수하기 시작한 건 2017년의 일이다. 하드웨어 취약점을 소프트웨어를 통해 익스플로잇 하는 걸 보다 어렵게 만들기 위한 목적으로 시작됐다. “SOC(시스템 온 칩) 설계자들이 활용할 수 있는 안전 장치들을 마련하는 것이 첫 번째 목표였습니다. 특히 하드웨어 이미 알려진 모든 하드웨어 취약점들에 대한 방어 도구를 만들고자 했죠.” 레벨로의 설명이다. SSITH 개발에는 SRI인터내셔널(SRI International), 캠브리지대학, MIT대학, 미시건대학, 록히드마틴이 참여했다.

이번 버그바운티 프로그램은 공개도 아니고 비공개도 아니다. 예선전을 통과해야만 참여가 가능하기 때문이다. 예선전은 CTF 형식으로 진행된다. 사이낵의 레드팀(Red Team)에 이미 참여하고 있는 전문가들은 예선전에 곧바로 참가할 수 있지만, 그렇지 않은 경우는 기술 평가도 통과해야만 한다. 버그바운티 공식 웹사이트는 여기(https://www.darpa.mil/news-events/2020-06-08a)다.

레벨로는 “버그바운티 참가자라면 컴퓨터 아키텍처와 소프트웨어 스택에 대한 깊은 이해도가 있어야 의미 있는 성과를 거둘 수 있을 것”이라고 말한다. “이번 버그바운티는 하드웨어에 비중을 많이 두고 있으며, 소프트웨어를 기반으로 한 익스플로잇을 사용해 하드웨어 방어 장치를 뚫어내는 것을 목적으로 하고 있습니다.”

사이낵의 공동 창립자이자 CTO인 마크 쿠어(Mark Kuhr)는 “하드웨어에 비중을 둔 버그바운티라는 점에서 이번 DARPA 버그바운티는 기존 버그바운티와 차별점을 가지고 있다”고 강조한다. “또한 소프트웨어 취약점을 찾아내라는 것이 일반적인 버그바운티의 목적이지만, DARPA가 진행하는 건 시스템의 구조를 전반적으로 검토해 문제를 찾아내는 것을 목적으로 하고 있습니다. 이 점 역시 조금은 다른 점이라고 볼 수 있습니다.” 쿠어는 “아마도 개인 출전은 힘이 들 것 같고, 하드웨어 전문가와 소프트웨어 전문가, 리버스 엔지니어 전문가 등이 팀을 이뤄야 하지 않을까”하고 제안하기도 했다.

미국 정부 기관들 사이에서 버그바운티의 인기가 점점 올라가고 있는 추세다. 그만큼 여태까지 진행한 정부 및 군 기관 버그바운티의 성과가 좋았다고 내부적으로 판단한 것으로 보인다. 지난 해만 하더라도 미 공군은 버그바운티를 통해 54개의 취약점을 6주만에 찾아내 보완했다고 발표했다. 이 때 투자한 돈(버그바운티 상금)은 12만 3천 달러였다.

3줄 요약
1. 미국 DARPA, 올해 7~9월까지 버그바운티 진행할 예정.
2. DARPA가 하드웨어 보안을 위해 개발한 SSITH가 버그바운티 대상.
3. 미국에서는 정부 및 공공 기관에서의 버그바운티가 점점 인기를 얻는 모양새.

Copyrighted 2015. UBM-Tech. 117153:0515BC
[국제부 문가용 기자(globoan@boannews.com)]

<저작권자: 보안뉴스(www.boannews.com) 무단전재-재배포금지>

  •  
  • 0
  • 페이스북 보내기 트위터 보내기 네이버 밴드 보내기 카카오 스토리 보내기


  •  SNS에서도 보안뉴스를 받아보세요!! 
그린존시큐리티 4개월 배너모니터랩 파워비즈 6개월 2020년6월22~12월 22일 까지넷앤드 파워비즈 진행 2020년1월8일 시작~2021년 1월8일까지위즈디엔에스 2018파워비즈배너 시작 11월6일 20181105-20200131
설문조사
코로나19 팬더믹 이후, 가장 기승을 부리고 있는 사이버 공격 유형은 무엇이라고 보시나요?
랜섬웨어
피싱/스미싱
스피어피싱(표적 공격)/국가 지원 해킹 공격
디도스 공격
혹스(사기) 메일
악성 앱
해적판 소프트웨어
기타(댓글로)