CVE 등록 5건에 보상금까지...‘헌팅마스터’ 윤리적 해커 모범 양성 사례 제시

실전형사이버훈련장, 파인더갭 ‘헌팅마스터 과정’ 2025년 수료식 성료

[보안뉴스 조재호 기자] 국내 대표 윤리적해커 양성과정 ‘헌팅마스터 2기’가 2025년 수료식을 마쳤다.

헌팅마스터는 한국인터넷진흥원(KISA)이 주최하고 파인더갭이 주관하며 H스페이스(HSpace)가 공동 운영하고 있다. 올해 2기는 총 63건의 취약점 보고서를 제출했고, 이 중 5건은 CVE(Common Vulnerabilities and Exposures) ID 등록과 보상금 1건 수상 등의 실적을 기록했다.

▲ 헌팅마스터 2기 수료생들이 수료식 기념 촬영을 하 고 있다. [자료: 파인더갭]

이번 2기 과정은 6-10월 약 4개월간 진행됐다. 참가자들은 모바일·리버스엔지니어링 중심의 A트랙과 웹·웹3 중심의 B트랙으로 나뉘어 실전 프로젝트를 수행했다.

헌팅마스터 과정은 이론 중심 교육을 넘어 실제 보안 현장에 필요한 기술을 직접 습득하는 ‘실전형 학습’을 강조했다. 또 지난해 1기 수료자 의견과 보안업계 현장 요구를 적극 반영해 수료 후 바로 버그헌터로 활동할 수 있는 역량과 열정, 책임감을 갖춘 31명의 최정예 교육생을 선발했다.

선발된 교육생들은 정규 교육과정 중 실시한 미니 프로젝트와 정규 과정 이후 진행한 팀 프로젝트를 통해 이미지매직(mageMagick), 엑시브2(Exiv2), 리브라아카이브(libarchive), 워드프레스(WordPress) 등 실제 상용 소프트웨어 취약점 63건을 제보했다. 이 중 5건이 CVE로 공식 등록됐다.

또 통신사에 보고된 IDOR 취약점은 공식 인정과 함께 실제 보상으로 이어졌다. 리눅스 커널, 드라이버, DeFi 등 다양한 영역에서 실질적 연구 성과를 냈다. 인정(Validated) 보고서 3건, 진행 중(In Progress) 보고서 24건이 확인되며, 교육생들이 파인드더갭(FindTheGap), 해커원(HackerOne), 이뮤네티(Immunefi) 등 글로벌 버그바운티 생태계에 참여할 수 있는 역량을 확보한 것으로 평가됐다.

헌팅마스터 과정의 또 다른 차별점은 1기 수료생들이 이번 과정에서 프로젝트 리더로 참여해 후배 기수를 이끈 ‘선순환 멘토링 구조’다. 이를 통해 단발적 교육에 그치지 않고, 실제 버그헌터로서 지속 성장할 수 있도록 지원하는 등 다른 프로그램과 차별점을 보였다.

김오중 파인더갭 대표는 “헌팅마스터는 단순한 이론 강의가 아닌, 실제 제보 가능한 수준의 결과를 만들어내는 성과 중심 교육이 핵심”이라며 “앞으로도 KISA와 협력 아래 윤리적 해커들이 지속 성장할 수 있는 실전형 학습 생태계를 확대하겠다”고 말했다.

[조재호 기자(sw@boannews.com)]

AI 및 AI 보안 솔루션이 보안 인력의 업무에 어떤 식으로 영향을 미칠것이라고 생각하시나요
	부족한 인력 보충: 만성적인 인력 부족 문제를 해결하는 보완재 역할을 하고 있다(100% 대체는 불가)
	업무 영역의 분리: AI는 대량 데이터 처리를, 전문가는 고도의 전략적 판단을 맡는 등 역할이 완전히 다르다
	업무 총량의 전이: 단순 업무는 줄었으나, AI 모델 관리·검증 등 새로운 형태의 운영 업무가 발생해 전체 업무량은 비슷하다
	인력 대체 가능: 단순 반복 업무를 넘어 분석/판단 영역까지 대체하여 인력을 줄일 수 있다
	신뢰도 부족: 아직은 AI의 오탐이나 환각(Hallucination) 우려로 인해 사람이 일일이 재검토해야 하므로 실질적인 도움은 적다