Shutterstock

<이미지를 클릭하시면 크게 보실 수 있습니다>

버그 바운티 프로그램은 소프트웨어 보안에 큰 도움이 되고 취약점 가시성을 확대하지만 모든 기업에 적합한 것은 아니며 위험이 따른다.

기업 외부의 보안 연구원이 소프트웨어 취약점을 발견하면 금전적 인센티브를 제공하는 버그 바운티 프로그램은 새로운 개념 같다. 그러나 버그 바운티 플랫폼 업체인 해커원(HackerOne)에 따르면 최초의 버그 바운티 프로그램은 1983년으로 거슬러 올라간다.

그해 헌터 앤 레디(Hunter & Ready)라는 한 업체게 칩 기반 VRTX(Versatile Real-Time Executive) 운영체제에서 오류를 발견한 사람에게 1,000달러를 수여했다. 그 이후로 버그 바운티 시장은 연간 15억 달러의 수익을 창출하는 산업이 되었으며, 한 조사에 따르면 개별 버그 바운티 지급액은 수십만 달러, 심지어 수백만 달러에 달한다.

지난 몇 년 동안 버그 포상금 증가의 일부는 미국 사이버보안 및 인프라 보안국(CISA)의 계획적 보안(Secure-by-Design) 이니셔티브에 기인한 것으로 볼 수 있다. 많은 전문가가 버그 바운티 프로그램을 구축하기 위한 필수 전 단계로 간주하는 취약점 공개 프로그램(VDP)을 만들 것을 요구하지만, 기업은 주로 버그 바운티 프로그램을 시작하여 CISA의 계획적 보안 서약에 대한 약속을 강화하는 것을 입증한다.

버그크라우드의 창립자이자 회장 겸 CTO 케이시 엘리스는 버그 바운티는 “표적을 감시하는 눈을 만들어낸다”고 말했다. 엘리스는 “방어자로서 하는 일이 무엇인지 생각해 보면, 버그크라우드의 존재 이유는 다양한 기술, 다양한 동기, 다양한 인센티브를 가진 수많은 창의적인 적이 있기 때문이며, 그들을 이기는 것이 임무다. 적의 창의성을 선점하고 영향력을 창출할 수 있는 방법을 찾은 다음 완화해야 한다”라고 말했다.

버그 바운티 프로그램의 구성 방식

버그 바운티 프로그램은 비교적 간단한 개념이다. 기업이 외부 사이버보안 연구원이 발견된 취약점을 신고하도록 장려하기 위해 구축하는 공공 또는 민간 보상 프로그램을 말한다.

엘리스는 “취약점 공개 프로그램은 고유한 문제를 발견하고 보고하는 사람에게 일종의 현금 보상 또는 그에 상응하는 금전적 보상을 통해 인센티브를 제공하고 보상하는 프로그램이다. 상금은 비트코인이 될 수도 있다. 현금으로 교환할 수 있는 모든 것이 상금이 될 수 있다. 일반적으로 고유한 문제를 가장 먼저 발견한 사람에게 버그 현상금을 지급하는 방식으로 운영된다”라고 설명했다.

일부 기업은 특히 현금이 충분하지 않거나 경영진이 외부인에게 거액을 지출하는 것을 꺼리는 경우 연구자에게 보상을 제공할 때 창의력을 발휘한다. 해커원 전문 서비스 이사 조쉬 제이콥슨은 “금전적 대가도 가능하지만 보상의 경계를 약간 느슨하게 해도 된다. 유나이티드 항공에서 처음 운영한 프로그램은 마일리지로 지급했다. 심각한 취약점에 대해 100만 마일을 지급했는데, 인기가 매우 높았다. 따라서 단순히 달러와 센트로만 보상할 필요는 없다”라고 말했다.

제이콥슨은 예산이 제한되어 있다면 창의력을 발휘하라며 “특히 많은 예산을 배정할 때는 기업이 가진 자원을 활용하면 도움이 된다. CFO는 긴장하겠지만 말이다”라고 덧붙였다.

사이낵(Synack)의 현장 CISO 웨이드 랜스는 “책임 있는 기업은 경제적으로 취약점을 발견할 수 있는 방법을 찾고 있다. 그래서 내부적으로 펜 테스트를 하되, 외부적으로는 ‘공격을 받아서 알아내는 것보다 차라리 버그 바운티 프로그램을 운영하는 게 낫겠다’고 말한다. 누군가 취약점을 발견하면 시간과 노력에 대한 대가로 약간의 돈을 지불할 용의가 있다’라고 말한다. 커뮤니티 기반 테스트를 활용하기 때문에 매우 유용하다”라고 설명했다.

버그 바운티 프로그램의 이점

버그 포상금 프로그램의 가장 큰 장점은 기업에서 발견하지 못했을 수도 있는 취약점을 발견할 수 있다는 점이다. NCC 그룹(NCC Group)의 취약점 관리팀 부책임자 스테파니 바탁은 “버그 바운티 프로그램은 내부 취약점 스캔 같은 다른 프로세스를 통해 미처 발견하지 못한 취약점을 식별하는 또 다른 방법을 제공한다”라고 말했다.

버그 바운티 프로그램을 구축하는 것은 광범위한 보안 연구 커뮤니티에 기업이 버그 수정에 진지하게 임하고 있다는 신호를 보낸다. 펜테스트랩의 CEO인 루이스 니페네거는 “기업 입장에서는 연구원이나 누구나 보안에 문제가 있는 것을 발견하면 연락하여 신고할 수 있는 정말 좋은 방법”이라고 말했다.

버그 바운티 프로그램을 통해 기업은 사내 인력이 갖지 못한 관점을 제공할 수 있는 다양한 인재를 확보할 수 있다. 사이낵의 랜스는 “다양한 생각을 가진 사람이 모인 대규모 커뮤니티에 액세스할 수 있기 때문에 다른 방법으로는 접근하기 어려운 취약점을 발견하는 데 도움이 된다”라고 말했다. 또한 “이러한 사고의 다양성은 과소평가할 수 없다. 사고와 연구자의 다양성은 큰 이점이다. 경우에 따라서는 더 나은 또는 추가적인 테스트가 가능하기 때문에 더욱 견고한 환경을 구축할 수 있다”라고 강조했다.

마지막으로 버그 바운티 프로그램은 기업의 전반적인 보안 노력에 신뢰성을 더한다. 랜스는 “버그 바운티 프로그램에는 홍보 효과도 있다. 규제 기관과 시장은 VDP와 버그 바운티 프로그램이 있기를 기대한다. 버그 바운티와 VDP가 없다면 사용자는 기업이 사이버보안 면에서 어떤 면이 강할지 궁금해 할 것”이라고 말했다.

모두에게 적합한 방법은 아냐

버그 바운티 프로그램은 사이버보안과 평판 향상에 상당한 이점을 제공하지만, 전문가는 모든 기업에 적합한 것은 아니며 상당한 준비가 필요하다고 경고한다. 버그크라우드의 엘리스는 “모든 기업이 공개 버그 바운티 프로그램을 운영하는 것은 적절하지 않다”라고 말했다.

엘리스는 “모든 기업이 취약점 공개 프로그램을 운영하는 것은 중요하다. 누군가가 언제 취약점을 발견할지 알 수 없기 때문이다. 그런 일이 발생하면 해당 정보를 수신할 수 있어야 하고, 취약점을 발견한 사람은 안전하게 알려도 된다는 것을 알아야 한다. 모두를 위한 방법”이라고 제안했다. 엘리스는 “공개 버그 포상금 프로그램을 통해 장려하는 것이 좋만 모든 회사가 준비가 되지는 않았다”라고 덧붙였다.

엘리스는 공개 버그 바운티 프로그램과 일부 보안 연구자에게만 공개되는 비공개 프로그램을 구분한다. 또한“비공개 버그 바운티 프로그램은 누구나 혜택을 받을 수 있다. 왜냐하면 누구나 인재를 구하는 데 어려움을 겪고 있기 때문이다. 문제를 해결할 준비가 되어 있는 거의 모든 기업이 비공개로 이 모델에 참여할 수 있다. 공개 버그 브랜딩 프로그램을 운영할 때는 말 그대로 인터넷 전체가 도움을 주지만, 비공개 프로그램에서는 소수의 사람들만 참여한다는 차이가 있다. 통제하기가 쉽고 받는 쪽에서 기업을 압도할 가능성도 적다”라는 의견을 냈다.

버그 바운티 프로그램의 위험성

대다수 전문가는 공개 버그 포상금 프로그램을 고려할 때 기업에 부담을 주는 것이 기업이 고려해야 할 가장 큰 위험이라고 생각한다. 따라서 많은 기업이 외부 버그 포상금 플랫폼 회사를 고용하여 이 프로세스를 관리하는 데 도움을 받기도 한다.

랜스는 “버그 바운티와 VDP에 대해 업무량과 위험성을 이해하지 못한다는 점을 이해해야 한다”라고 말했다. 랜스에 따르면 사용자는 제출된 내용을 살펴보고 이것이 취약점인지, 악용될 수 있는지 여부를 판단할 준비가 되어 있어야 한다. 그런 다음 버그 바운티에 해당되는 경우 보상금 규모를 결정하고 연구자와 협상해야 한다.

이 작업을 준비하려면 취약점과 취약점이 악용될 수 있는지 여부를 식별하고, 악용될 수 있는 경우 버그를 완화할 직원이 필요하다. 또한 상당한 규모의 포상금을 지급할 수 있을 만큼 충분한 예산을 확보해야 한다. 랜스는 ‘공짜 점심’은 없다며, 좋은 일에는 비용뿐만 아니라 노력이라는 대가가 따른다고 강조했다.

무엇보다도 기업은 버그 리포트를 제출하는 보안 연구원을 검증해야 한다. 랜스는 “공개적으로 알려진 테러리스트에게 돈을 지불하는 것이기 때문에 미국의 테러 감시 목록에 오를 수 있다. 알려진 테러리스트 기업의 일원인 사람에게 현상금을 지급하면 테러리즘에 자금을 지원하는 것이 된다”라고 경고했다.

예산 책정과 관련하여, 버그 바운티를 처음 시작하는 사람은 가격을 너무 높게 책정하여 예상보다 많은 신고를 받으면 쉽게 자금이 부족해진다. NCC 그룹의 바탁은 “버그 바운티 프로그램을 처음 접하는 사람이라면 예산과 잠재적으로 소요될 수 있는 비용을 제대로 파악하는 것이 좋다”라고 제안했다.

버그 바운티 프로그램은 백로그가 쌓인 기업이 사내 리소스를 사용해 발견한 취약점을 식별하고 제거하는 것이 아니다. 펜테스터 랩의 니페네거는 “향후 6개월 내에 문제를 해결할 수 없거나, 업무량을 감당할 수 없거나, 자금이 부족하고 처리 방법을 몰라 2개월 후에 바운티 프로그램을 종료해야 한다면 유익하지 않다”라고 말했다.

버그 바운티 프로그램은 준비된 후에

전문가는 대부분의 유명 기술 기업이 이미 버그 바운티 프로그램을 운영하고 있다고 말했다. 또한 인터넷에 상당한 자산을 보유한 대다수 기업이 버그 바운티 프로그램을 운영하지 않지만, 진지하게 도입을 검토해야 한다고 말했다.

버그크라우드가 추적하는 VDP 프로그램 보유 기업 5만~6만 곳의 약 5% 정도만 공개 버그 바운티 프로그램을 운영하는 것으로 추정된다.

랜스는 확실하지는 않지만 버그 포상금 프로그램을 운영해야 하는 기업 중 3분의 1이 버그 포상금 프로그램을 운영할 것이라고 조심스럽게 추측한다. 랜스는 비율이 어떻든 “이 분야에서 많은 성장이 이루어지고 있다”라고 말했다.

하지만 보안 프로그램이 잘 갖춰진 기업만 버그 포상금 프로그램 도입을 고려해야 한다고 경고한다. 제이콥슨은 “매우, 매우 성숙해야 한다”고 강조했다. 또한 “모든 테스트 방법론을 거치고 취약점을 수정할 수 있다는 것을 증명하고, 모든 스캐너 취약점을 수정해야 한다. 모든 펜 테스트 취약점도 수정해야 한다”라고 부연했다.

준비가 되지 않은 상태에서 버그 바운티 프로그램을 시작하면 재앙이 될 수 있다. 니페네거는 “몇 달 만에 과부하가 걸려서 문을 닫는 프로그램을 본 적이 있다. 문제는 돈이나 시간이 부족하거나 너무 버거워서 문을 닫았다는 것이다. 하지만 여전히 미공개 보고서가 있었고 많은 연구자가 취약점을 찾기 위해 많은 시간을 투자했으며 보상을 기대했다. 참가자들은 분노했지만 버그 플랫폼 기밀 유지 약관에 동의했기 때문에 공식적으로 공개할 수 없었다”라고 전했다.

전문가는 또한 버그 포상금 프로그램이 기존의 보안 노력을 후퇴시키는 이유가 되어서는 안 된다고 경고한다. 제이콥슨은 “포상금 프로그램이 만병통치약이 되어 모든 테스트 문제를 해결해줄 것으로 기대하면 안 된다는 교훈을 얻었다. 기업에서는 이전에 본 적 없는 엄청난 취약점을 많이 발견했다며, 스캐너를 없애도 될지를 묻는다”라고 말했다.

그러나 제이콥슨은 그런 생각이 너무나 어리석은 짓이라며 CISO와 보안 기업이 무모한 시도를 하지 않기를 바란다고 전했다.
dl-itworldkorea@foundryco.com