커뮤니티

자유게시판

  • HOME
  • 커뮤니티
  • 자유게시판
자유게시판 상세보기, 제목, 내용, 파일등의 정보를 제공합니다.
제목 [보안뉴스] 버그바운티, 정말로 우리가 기대하는 바를 채워주고 있는가?
버그바운티 프로그램이라는 개념이 혜성처럼 등장한 지 약 10년이 지났다. 하지만 아직도 버그바운티 프로그램의 효력이라는 것에 대해 사람들의 의견이 갈리고 있다. 보안 업체 루타시큐리티(Luta Security)의 CEO 케이티 무수리(Katie Moussouris)에 의하면 “일반적인 기업들이 버그바운티를 통해 실질적인 가치를 이끌어내지 못하는 게 현실”이라고 한다.

물론 10년 전에 비해 버그바운티 프로그램은 주류에 올라 서 있다고 해도 과언이 아니다. 버그바운티 플랫폼들과, 이 플랫폼들로 이뤄진 시장은 계속 성장하고 있고, 빅테크가 아니어도 소소하게 버그바운티를 진행하는 기업들이 꾸준히 늘어나는 중이다. 제품과 애플리케이션의 최종 취약점 점검 도구로서 버그바운티를 활용하는 보안 전문가들도 많아지는 중이다.

“수많은 기업들이 버그바운티라는 제도의 개념 자체에는 동의합니다. 그리고 많은 기대를 품고 버그바운티를 시작하죠. 예산도 충분히 잡고요. 하지만 1년 반에서 2년 정도 지나면 힘을 잃기 시작하고, 버그바운티에 대해 부정적으로 변합니다.” 무수리의 설명이다. 힘을 잃는 이유는 너무나 많은 버그리포트가 들어오고, 이 리포트를 사내 보안 인력으로 전부 점검하기가 힘들기 때문이다. 게다가 취약점을 발견했다고 해서 소프트웨어나 제품이 강력해지는 것도 아니다. 실제로 고쳐야 하는데, 버그 발견에서 실제 픽스까지 잘 이어지지 않는다는 것도 큰 문제다.

무수리는 “버그바운티의 개념 자체는 훌륭하지만 우리가 그걸 여태까지 제대로 실행해 왔는가에 대해서는 의문이 생긴다”고 말한다. “그 훌륭한 개념을 잘 살리려면 실행적인 부분에서의 고민이 더 필요합니다. 버그바운티 프로그램을 더 이상적으로 활용할 방법을 모색해야 합니다. 뿐만 아니라 보안의 생태계 혹은 버그바운티를 둘러 싼 생태계 전체도 개선할 필요가 있습니다.”

버그바운티가 진정한 가치를 발휘하려면 기저에 깔린 ‘보안 문화’ 혹은 ‘보안 실천 사항의 준수’와 같은 기본적인 부분이 탄탄해야 한다고 무수리는 설명한다. “즉 자산에 대한 가시성이 충분히 확보되고, 취약점 관리가 제대로 이뤄지고 있으며, 개발자들의 보안 훈련도 주기적으로 진행되는 등의 작업도 병행되어야 합니다. 그럴 때 버그바운티는 훌륭한 ‘보완재’가 되지요. 버그바운티 자체만으로 훌륭한 보안 완제품이 되지는 않습니다. 실제 버그바운티를 하고 있으니 다른 부분에서 소홀해도 된다고 여기는 조직들이 꽤 많습니다.”

무수리는 이러한 주제로 최근 미국 라스베이거스에서 열리고 있는 블랙햇(Black Hat) 행사에 기조 연설을 진행하며 “버그바운티를 하려면 최소한 취약점을 제대로 고치고, 보안의 전반적인 중점 사안을 검토할 준비가 되어야 한다”고 강조했다. “버그바운티는 전반적인 보안 상태에 대한 ‘리트머스 페이퍼’ 정도로 여겨야 합니다. 우리는 건강한 편인가 아닌가를 전체적으로 살피는 게 핵심이라는 겁니다. 단 한 개 제품의 취약점을 발견하는 게 목적이 아닙니다. 그 취약점이 우리 조직에 위험하게 작용하게 되는 그 모든 이유들을 다 알아내고 고쳐야 합니다.”

그러면서 무수리는 “버그바운티 프로그램이 현장에서 제대로 된 효력을 발휘하지 못한다면, 그건 바로 이 버그바운티 프로그램이 본질적으로 시스템 전체를 아우르는 보안 점검의 방법론이라는 걸 간과했기 때문”이라고 연설을 이어갔다. 그래서 버그바운티를 통해 최대한의 가치를 끌어낼 수 있는 방법론을 제시했다.

“표면의 극단에 매달려 있는 요소들에 집중하는 버그바운티 프로그램은 큰 가치를 내기 어렵습니다. 누구나 쉽게 다가가고 해킹 해봄 직한 취약점을 찾아내는 게 버그바운티의 효과는 아니라는 겁니다. 보다 복잡하게 꼬여 있고, 그래서 찾아내기가 쉽지는 않지만 존재하는 것이 분명한 취약점들에 더 많은 상금을 걸어야 합니다. 익스플로잇 하기도 어려운 취약점을 성공시키려 노력하다 보면 예상치 못한 문제들이 줄줄이 꿰어나오기도 하거든요.”

또한 무수리는 버그바운티 프로그램이 아직까지 버그 헌터들에게 그리 만족스러운 대가를 돌려주지 않는다는 점도 지적했다. “전문 버그 헌터라는 건 솔직히 IT 생태계에서 최악의 직종이라고 해도 과언이 아닙니다. 차라리 전문 우버 드라이버를 하는 게 나을 겁니다. 왜일까요? 일단 찾아낸 모든 버그들에 대해 대가를 받지 않습니다. 0의 수입으로 이어지는 노력을 수도 없이 해야 한다는 겁니다. 몇십만 달러의 상금을 받는 건 손에 꼽히는 극소수이고, 나머지는 제대로 된 수입을 만들지 못한 채 살아가야 합니다. 그러니 버그바운티로 인해 사이버 범죄로 빠져드는 사람들을 줄일 수 있다는 얘기는 허상에 불과합니다.”

그러면서 무수리는 “버그바운티와 같은 제도로 실력 있는 인재들이 다크웹에 빠지지 않도록 하자는 말 자체는 맞는 말”이라고 말한다. “하지만 이상만 좋고 실행에서는 한없이 부족하기 때문에 이 말도 현실화되고 있지는 않습니다. 업계 전체가 버그바운티의 이점을 제대로 가져가려면 버그 헌터들에 대한 처우 개선에 힘을 써야 합니다. 버그 헌터들을 더 교육하고 양육할 필요도 있고요.”
파일
목록