Home > 전체기사

코브라 효과와 버그바운티 제도의 상관관계

  |  입력 : 2021-05-27 18:08
페이스북 보내기 트위터 보내기 네이버 밴드 보내기 카카오 스토리 보내기
식민지 시대에 인도를 점령했던 영국 정부는 코브라 때문에 무척이나 괴로운 상황을 겪어야만 했다. 그래서 코브라에 현상금을 걸었다. 하지만 그 효과는 기대와 정 반대로 나타났다.

[보안뉴스 문가용 기자] 19세기 후반 영국이 인도를 점령해 다스리던 시절, 영국인들은 델리에 자주 출몰하던 코브라에 상당한 두려움을 가지고 있었다. 그래서 영국 정부는 모든 코브라에 현상금을 걸고, 죽은 코브라를 가져오는 사냥꾼들에게 돈을 지불했다. 그러자 온 도시에서 죽은 코브라가 쏟아져 들어오기 시작했다. 델리에서 코브라라는 위협이 박멸되는 데까지 얼마 걸리지 않을 것 같았다. 하지만 결과는 정반대였다. 코브라가 오히려 늘어난 것이다.

[이미지 = Pixabay]


어떻게 된 일일까. 당국은 조사를 벌였다. 놀랍게도 델리 곳곳에 코브라 농장이 만들어져 있는 걸 알게 됐다. 실제로 현상금 제도 이후 야생 코브라가 줄어들자, 사냥꾼들이 안정적인 수입원을 마련해 두었던 것이다. 당국은 자신들의 의도와 정 반대되는 결과가 나오는 것을 보고 현상금 지불을 중단했다. 그러자 농장주들은 코브라를 키울 돈이 없어 코브라를 그냥 놔주었다. 델리는 이전보다 더 지독한 코브라 소굴이 되었다. 결국 영국 정부의 코브라 사냥 정책은 오히려 코브라 개체수를 늘리는 결과로 마무리 되었던 것이다. 원래의 의도를 완전히 뒤집는 결과가 창출되는 것을 두고 ‘코브라 효과’라고 하는 이유가 바로 이것이다.

버그바운티가 늘어나고 있는 보안 업계에 이 ‘코브라 효과’의 유래는 꽤나 큰 교훈이 될 수 있다. 현재 여러 기업들이 취약점을 찾아내는 전문가들에게 돈과 명예를 안겨주고 있다. 물론 좋은 의도에서 시작된 일이다. 그런데 이것이 꽤 짭짤한 수익원이 되기 시작하자 ‘취약점 사냥’ 혹은 ‘버그 사냥’만을 위한 거대 생태계가 나타나기 시작했다. 취약점을 찾는 방법을 집중적으로 알려주는 강좌와 책들이 등장했으며, 전문 플랫폼도 등장했다. 버그바운티라는 것 자체만으로 하나의 산업처럼 굳어지고 있다.

코브라와 취약점에는 중대한 차이가 있다. 취약점은 ‘양식’할 수 없다는 것이다. 따라서 이론적으로는 취약점 사냥꾼들이 늘어나 세상의 모든 취약점들을 찾아내 씨를 말리는 게 가능하다. 하지만 현실은 어떨까? 소프트웨어 제조사들은 사내에 보안 전문가들을 두고 자사 제품에서 취약점을 집중적으로 찾아내도록 하는 것보다 외부 취약점 사냥꾼들끼리 경쟁을 붙이는 것이 더 저렴하다는 걸 알아차렸다. 그래서 오히려 더 취약점에 신경을 덜 쓰게 됐다. 상금 한 번 주는 게, 몇 개월 동안 월급을 주는 것보다 남는 장사였다.

소프트웨어 취약점을 해결하는 방법은 크게 두 가지로 나눌 수 있다. 하나는 개발 단계에서부터 보안 개념을 탑재하는 ‘설계에 의한 보안(security by design)’ 모델을 도입하는 것이다. 그리고 다른 하나는 코드를 전부 완성해 놓고, 추후에 보안 점검을 하는 것이다. 이 둘을 병행하는 것이 가장 안전하고 완벽한 건 자명한 사실이다. 그러나 너무 비싸다. 그래서 하나만 선택하게 되는데, 전자가 후자보다 훨씬 비싸다. 그래서 후자를 선택하는 경우가 허다한데, 그런 흐름에 따라 버그바운티가 성행하게 된 것이기도 하다.

이런 흐름이기 때문에 ‘전문 버그 사냥꾼이 없는 세상이라면 오히려 안전한 코딩이 정착되었을 수 있었겠다’라는 생각이 들 수밖에 없다. 비교적 싼 값으로 보안 점검을 해 주는 문화가 형성되지 않았다면, 기업들이 자사의 제품에 좀 더 책임감을 가질 수 있지 않았을까, 생객해 보게 되는 것이다. 분명히 현 소프트웨어 생태계에는 버그바운티로 인한 ‘코브라 효과’가 나타나고 있다. 안전하지 않은 제품이라도 시장에 내놓는 기업들의 윤리 의식이 바로 맹독 코브라다.

버그바운티 프로그램 자체를 부정하는 건 아니다. 긍정적인 면이 있다는 걸 인정한다. 하지만 버그바운티라는 것으로 모든 문제를 해결하려는 지금의 흐름이라면 장기적으로 해악한 제도가 될 가능성이 더 높아 보인다. 즉 취지는 살리되, 현재의 부작용을 없앨 수 있는 방안을 고민해야 될 때라는 것이다. 어쩌면 취약점 사냥꾼들에게 돌리는 명예와 영광과 재물을 조금 낮추어야 할 수도 있겠다.

버그 사냥꾼들보다, 책임감을 가지고 보안을 강화하는 기업들에 더 후한 상금과 명예를 줘야 한다고 생각한다. 남다른 의식을 가지고 보안을 강화하는 기업에서 어쩌다 보안 사고가 나더라도 어느 정도 참작해 줄 법적인 장치를 마련하는 것도 좋은 방법일 수 있다. 그러면서 “보안에 진심으로 임하면 나라와 사회와 업계가 보상해 준다”는 인식을 심을 수 있어야 한다. ‘설계에서부터 보안’이 비싸지 않게 해야 한다는 것이다.

반대로 지금의 대다수 소프트웨어 회사들처럼 사회의 안전을 고려하지 않고 출시 시기만 앞당기려고 하는 기업들에는 따끔한 채찍질을 가할 수 있어야 한다. 이런 기업들이 보안 사건으로 소송에 휘말린다면 법적인 보호 장치를 누리지 못하게 하고, 이런 회사의 직원이 내부 고발을 하면 철저하게 보호하는 식으로 말이다.

결국 소프트웨어 취약점을 그 근본에서부터 해결하려 하지 않고 표면에서만 다루려고 한다면 우리는 아마 취약점과의 전쟁을 영원히 끝내지 못할 것이다. 처음부터 그 뿌리를 전부 캐낼 수 있게 해 주는 완벽한 방안이 나올 수 없다. 하지만 그렇다고 해서 아예 뿌리에 접근하려는 시도조차 하지 않는 것도 건강하지 않다. 선진국 시민들에게 깨끗한 상수도가 너무나 당연한 것처럼, 우리가 사용하는 소프트웨어도 당연히 깨끗한 것이어야 한다. 다만 그 상수도 시스템을 정착시키기 위해 수많은 시행착오를 겪었다는 걸 잊어서는 안 되겠다.

지금의 IT 환경은 개개인이 알아서 물을 걸러 먹는 환경에 비유할 수 있다. 이건 당연한 게 아니다. 사회적으로 개선을 해야 할 부분이고, 더 나아질 수 있다. 그러한 차원에서 코브라 효과를 일으키고 있는 버그바운티는 다시 한 번 점검해 봐야 한다.

글 : 올레그 브로트(Oleg Brodt), R&D Director, Deutsche Telekom
[국제부 문가용 기자(globoan@boannews.com)]

<저작권자: 보안뉴스(www.boannews.com) 무단전재-재배포금지>

  •  
  • 0
  • 페이스북 보내기 트위터 보내기 네이버 밴드 보내기 카카오 스토리 보내기

  •  SNS에서도 보안뉴스를 받아보세요!! 
모니터랩 파워비즈 6개월 2021년7월1~12월31일 까지엔사인 파워비즈 2021년6월1일~11월30일 까지2021 전망보고서위즈디엔에스 2018파워비즈배너 시작 11월6일 20181105-20200131
설문조사
2021년 상반기 발생했던 보안 사건 가운데 가장 파급력이 컸던 이슈는 무엇이라고 보시나요?
솔라윈즈 사건
콜로니얼 파이프라인 사건
카세야 사건
익스체인지 서버 취약점 사건
원자력연구원/KAI 해킹 사건
국내 대기업 주요 정보 다크웹 유출 사건
기타(댓글로)