Home > 전체기사
떠오르고 있는 새로운 보안 창업 아이디어, 버그 바운티
  |  입력 : 2014-08-28 16:44
페이스북 보내기 트위터 보내기 네이버 밴드 보내기 카카오 스토리 보내기

버그에 현상금을 거는 행위, 예전엔 고소 감 현재는 사업 감

확산되면 될수록 해커들의 입지가 좁아질 것으로 예상


[보안뉴스 문가용] 버그 바운티 프로그램을 최초로 시작한 업체 중 하나가 바로 페이팔이다. 그러나 이런 외부 화이트 해커들에게 공개적으로 ‘우리 사이트를 해킹해봐’라는 식의 프로그램을 운영하는 모든 업체가 그랬듯, 페이팔 역시 이 프로그램을 장기적으로 운영하는 게 결코 쉽지 않음을 깨달았다.

 

 ▲ 사회가 난제에 부딪혔을 때 어김없이 나타나는 해결사가 있지. 시장주의라고.

“외부와 연결되는 프로그램을 운영한다는 건 내부 인원들에게 또 다른 일이 됩니다. 그것도 만만치 않은 리소스가 소요되는 일이죠.” 버그 바운티 프로그램을 2년간 진행해온 구스 아나그노스(Gus Anagnos)의 경험담이다.


그렇게 외부 전문가들이 제출한 버그 리포트를 점검하고 처리하는 일이나, 그것에 대한 보상을 위해 예산을 짜고 실행하는 일은 결코 만만치 않은 일이다. “외부 조사자들을 관리하는 일은 여러 모로 어려운 일입니다. 돈이 끼어있는 문제이기 때문이죠. 그들은 그들 나름대로 기대하는 바가 있고, 저희는 저희대로 사정이 있는데 그걸 절충하는 건 정말 힘이 듭니다.”


그런 일을 2년간 해온 아나그노스는 올해 페이팔을 떠나 사이낵(Synack)의 전략 및 운영 부문 부회장으로 새로운 삶을 시작했다. 사이낵은 취약점 발견 프로그램 등의 보안 관련 서비스를 제공하는 기업이다. “사이낵으로 들어온 건 페이팔에서 버그 바운티 프로그램을 운영해 본 경험을 살리고자 함이었습니다. 그 경험을 살려 더 좋은 버그 바운티 프로그램을 만들어 실행해보고 싶었죠. 어렵긴 하지만 분명히 연구해볼 가치가 있는 취약점 퇴치 방법이라는 판단이 들었습니다.”


사이낵은 최근 온라인 플랫폼을 개설해 사람들이 취약점을 발견한 후 간편하게 보고할 수 있도록 조치를 취했다. 예전엔 일일이 이메일로만 하던 업무였다. 또한 고정적으로 취약점에 대해 연구를 할 수 있는 외부 인원을 어느 정도 확보하기도 했다. 하지만 사이낵은 버그 바운티 회사가 아니라고 아나그노스는 말한다. “버그 바운티를 위한 플랫폼을 제공할 뿐입니다.” 외부 인원은 21개국에서 학계, 정부, 구글, 페이스북에서 일하는 사람들로 이루어져있다.


소셜 미디어 기업인 태그드닷컴(Tagged.com)도 처음엔 내부에서 바운티 프로그램을 운영했다. 하지만 그게 내부적으로 소화할 수 있는 일이 아니라는 걸 금방 깨닫게 되었다. “버그 리포트가 들어오기 시작했습니다. 행정부서 하는 일이 바뀌었습니다. 하루 종일 버그 관련 전화만 받게 되더라고요. 또한 IT 부서는 일과의 대부분을 그 리포트를 실험해보는 데에 보냈습니다. 뭔가 주객이 전도된 느낌이더군요.” 이 프로그램의 총책임자였던 보리스 스베르들릭(Boris Sverdlik)의 설명이다. 현재 스베르들릭은 디지털 브랜딩 소프트웨어 기업인 튜브모굴(TubeMogul)에서 인프라 보안의 수장을 맡고 있다.


“지급을 결정하고, 보고서를 낸 사람들의 기대치를 충족시켜주는 게 정말 큰 문제더라고요. 아주 사소한 취약점 하나에 대한 보고서를 형식적으로 써서 내고 돈을 요구하는 사람들도 많았습니다. 그래서 버그크라우드(Bugcrowd)의 온라인 버그 바운티 서비스를 이용하기 시작했습니다. 버그크라우드는 ‘더 이상 보고서를 받지 않는 취약점 목록’을 가지고 있습니다. 버그크라우드와 손잡고 나니 모든 보고서를 볼 필요가 없어졌습니다. 그렇게 일차적으로 보고서를 골라내니까 일이 한결 편해지더군요.”


이러쿵 저러쿵 말들이 많아도 사실 이는 큰 변화다. 예전에는 소프트웨어에 대한 취약점을 발견하면 개발자로부터 고소를 당하기 일쑤였기 때문이다. 버그 바운티 프로그램이 있더라도 은밀히, 물밑에서 진행할 수밖에 없었다. 하지만 작년 마이크로소프트에서 버그 바운티를 대놓고 진행하면서 이 방법은 곧 대세가 되었다. 마이크로소프트가 이런 움직임을 보이자 기다렸다는 듯이 페이스북, 구글, 모질라, 페이팔도 이에 동참했기 때문이다.


마이크로소프트의 버그 바운티 프로그램을 진두지휘한 케이티 무수리스(Katie Moussouris)는 지난 5월 해커원(HackerOne)라는 버그 바운티 전문 업체에서 새 둥지를 틀었다. 이 회사의 CTO는 페이스북에서 보안을 담당했던 알렉스 라이스(Alex Rice)이다. 해커원 역시 버그 리포트의 자동화 플랫폼을 온라인으로 제공한다. 만약 사용자가 보고한 내용이 소프트웨어 개발업체에 받아들여져 상금(바운티)이 나온다면, 그 중 20%를 해커원에 수수료로 지급해야 한다.


“비밀리에 운영하던 버그 바운티 프로그램이 하나의 수익모델이 되고 이제는 여기저기 사업체가 생긴다는 게 정말 놀랍습니다. 이게 하나의 산업을 이룬다면 해커들의 입지가 좁아질 것으로 보입니다. 해커 퇴치에 있어 아주 강력한 대안이 되지 않을까 예상합니다.” 무수리스의 설명이다. 실제 무수리스가 마이크로소프트에서 버그 바운티를 진행하던 시절, 소프트웨어의 취약점이 줄어들었다는 통계자료도 있었다는 설명도 덧붙였다.


하지만 이 사업을 시작할 때 처음부터 ‘현상금’을 거는 건 독이 될 수 있다고 그는 충고한다. “물론 돈이 동기부여가 되는 건 사실이지만 돈을 걸어야만 사람들이 버그나 취약점을 찾아나서는 건 아닙니다. 사업주로서 사람들로 하여금 버그를 찾아내게 하는 이유가 뭔지, 그 정보를 가지고 뭘 어떻게 할 것인지, 큰 계획을 분명하게 수립하기 전에 돈을 무리하게 쓰는 건 좋은 사업운영 방법이 아닙니다.”


이 분야 창업에 관심이 있다면 사이낵, 버그크라우드, 해커원의 플랫폼과 수익 모델을 참조하는 게 좋을 것이다. 취약점을 가지고 장사하는 게 이제 해커들만의 전유물이 아니게 되거나 과거 해커들만의 전유물이 슬슬 양지로 올라오는 과정인 듯 하다.

ⓒDARKReading

[국제부 문가용 기자(globoan@boannews.com)]


<저작권자: 보안뉴스(http://www.boannews.com/) 무단전재-재배포금지>

  •  
  • 1
  • 페이스북 보내기 트위터 보내기 네이버 밴드 보내기 카카오 스토리 보내기


  •  SNS에서도 보안뉴스를 받아보세요!! 
IBM 파워비즈 배너 2019년2월8일~2020년2월7일까지/7월25일 수정위즈디엔에스 2018파워비즈배너 시작 11월6일 20181105-20200131
설문조사
2019년 국정감사에서 가장 중점적으로 다뤄야 할 보안이슈는 무엇이라고 보시나요?
잇따른 개인정보 유출사고
드론 테러 대응 대책
보안 관련 법 체계, 제도 정비
국가 사이버안보 거버넌스(보안 콘트롤타워) 정립
국가 차원의 사이버테러 대응 방안
스마트시티에서의 보안위협 대응
https 접속 차단 정책
국가핵심기술 및 기업 기밀 보호 방안
기타(댓글로)
      

유니뷰코리아
CCTV / 영상보안

인콘
통합관제 / 소방방재

현대틸스
팬틸트 / 카메라

아이디스
DVR / IP / VMS

시큐인포
CCTV / NVR

한화테크윈
CCTV 카메라 / 영상감시

Videotec
PTZ 카메라

대명코퍼레이션
DVR / IP카메라

티제이원
영상 보안 / 출입 통제

하이크비전 코리아
CCTV / IP / NVR

원우이엔지
줌카메라

도마카바코리아
시큐리티 게이트

다후아 코리아
CCTV / DVR

씨앤비텍
통합보안솔루션

지케이테코
출입통제 / 얼굴인식

아이디스
DVR / IP / VMS

한국하니웰
CCTV / DVR

이화트론
DVR / IP / CCTV

경인씨엔에스
CCTV / 자동복구장치

테크스피어
손혈관 / 차량하부 검색기

비전정보통신
IP카메라 / VMS / 폴

슈프리마
출입통제 / 얼굴인식

동양유니텍
IR PTZ 카메라

트루엔
IP 카메라

링크플로우
이동형 CCTV 솔루션

보쉬시큐리티시스템즈
CCTV / 영상보안

엔토스정보통신
DVR / NVR / CCTV

CCTV협동조합
CCTV

아이티엑스엠투엠
DVR / NVR / IP CAMERA

디비시스
CCTV토탈솔루션

씨오피코리아
CCTV 영상 전송장비

테크어헤드
얼굴인식 소프트웨어

씨엠아이텍
근태관리 소프트웨어 / 홍채 스케너

구네보코리아
보안게이트

다민정보산업
기업형 스토리지

에스카
CCTV / 영상개선

이스트시큐리티
엔트포인트 보안

신우테크
팬틸드 / 하우징

에프에스네트웍스
스피드 돔 카메라

엔클라우드
VMS / 스위치

케이제이테크
지문 / 얼굴 출입 통제기

알에프코리아
무선 브릿지 / AP

사라다
지능형 객체 인식 시스템

일산정밀
CCTV / 부품 / 윈도우

엘림광통신
광전송링크

티에스아이솔루션
출입 통제 솔루션

창우
폴대

퍼시픽솔루션
IP 카메라 / DVR

새눈
CCTV 상태관리 솔루션

이노뎁
VMS

케이티앤씨
CCTV / 모듈 / 도어락

아이유플러스
레이더 / 카메라

진명아이앤씨
CCTV / 카메라

브이유텍
플랫폼 기반 통합 NVR

아이엔아이
울타리 침입 감지 시스템

두레옵트로닉스
카메라 렌즈

이후커뮤니케이션
CCTV / DVR

DK솔루션
메트릭스 / 망전송시스템

옵티언스

대산시큐리티
CCTV 폴 / 함체 / 랙

포커스에이치앤에스
지능형 / 카메라

휴컴스
PTZ 카메라 / 줌카메라

더케이
투광기 / 차량번호인식

유진시스템코리아
팬틸트 / 하우징

세환엠에스
시큐리티 게이트

지에스티엔지니어링
게이트 / 스피드게이트

카티스
출입통제 / 외곽경비

유니온커뮤니티
생체인식 / 출입통제