들어가며: 버그바운티 (Bug Bounty)란?
요즘 뉴스기사에 버그바운티 (Bug Bounty) 란 단어가 종종 등장하는 것을 볼 수 있다. 버그바운티란 과연 무엇일까? 말그대로 소프트웨어나 서비스 상의 “버그 (오류)” 를 찾고, 찾아낸 버그에 대해 “현상금 또는 보상금” 을 받는다는 뜻이다. 개발자가 소프트웨어를 설계단계에서부터 보안을 최대한 신경 쓰면서 개발을 한다 하더라도, 사람이 만든 것이기 때문에 사전에 발견하지 못하는 결함이 존재할 수 밖에 없다.
더불어, 프로젝트에 따라 오픈소스 프로그램을 이용하여 활용하는 경우도 빈번한데, 직접 개발한 코드가 아닌 외부 오픈 소스코드에서 유래하는 취약점들도 있다. 일부 오픈소스 프로젝트들은 보안취약점 패치가 신속하게 되지 않아 장기간 해결되지 않는 문제점들도 있고, 상용 소프트웨어 제품처럼 이용자 층이 넓지 않는 오픈소스 프로젝트들의 경우에는 취약점 발견 조차도 쉽지 않은 경우가 많다.
마치 현실세계에서 숨겨진 보물을 찾아 헤매고 “현상금 사냥”을 하여 보상을 받는 사냥꾼들처럼, 사이버 상에는 소프트웨어의 버그를 찾아 전문적으로 보상을 받는 기업 및 보안전문가 개인들이 다수 존재한다.
과거에는 자사 제품 또는 서비스의 취약점은 자사 내부 노력으로만 찾으려 하거나, 외부에서 유입되는 취약점 관련 신고를 무시하는 경우가 많았다. 심지어는 취약점을 찾아 기업에 알리면, 우리 회사의 제품을 허락도 없이 분석하거나 해킹을 하려 했다는 이유를 들어 신고자를 역으로 고발하는 경우도 종종 있어 왔다.
하지만, 취약점을 찾아 제보해 준 경우에 부정적으로 대응을 하게 되면, 오히려 제품의 결함을 찾는데 방해요소가 되고, 회사가 보안 개선의 의지가 없다는 부정적인 이미지를 주게 된다.
도리어 취약점을 제보해준 연구자들에게 보상을 해주고, 더 나아가 상시 버그바운티 제도를 운영하는 기업들의 경우에는 대중들에게 회사가 보안 향상을 위해 적극적으로 노력하고 있다는 칭찬을 받고 있다.
마치, 버그바운티라는 용어가 익숙하지 않은 대중에게는 금전적인 수익을 추구하기 위해 상대방의 약점/결함을 찾아내는 행위로 혹시라도 오해를 살 수 있을지 모르나, 버그바운티는 사이버보안 상의 문제를 해결하는 가장 효과적인 방법 중 하나이다. 실제로도 이러한 버그바운티 제도를 통해 글로벌 회사들의 경우 심각한 취약점들을 사전에 찾아 능동적으로 취약점에 대응할 수 있었다.
버그바운티 (Bug Bounty) 는 어떤 기업 또는 기관들에서 하고 있는가?
대표적으로 버그바운티 제도를 운영하고 있는 기업들로는 구글, 마이크로소프트, 페이스북 (메타) 와 같은 대형 글로벌 IT 기업들이 있어왔으며, 국내 IT 기업들도 버그바운티 제도를 속속 도입하여 보안성을 높이는데 적극적인 노력을 기울이고 있다.
이러한 제도는 민간 기업 단위로만 이루어지는 것은 아니다. 해외의 경우 취약점이 있다고 알려지는 것을 꺼릴 것 같은 국가기관들, 예를 들면 미 국방부에서도 Hack the Pentagon 이라는 버그바운티 프로그램을 적극적으로 도입하여 수십만 달러 이상의 보상금을 지급한 바 있다. 이를 통해 국방부 내부 전문가들도 쉽게 발견해 내지 못했던 취약점들을 150개 가까이 발견하여 보안 향상을 꾀할 수 있었다.
국내의 경우에도, 한국인터넷진흥원에서 2012년부터 “보안 취약점 신고 포상제” 를 운영하여 아직까지 알려지지 않은 취약점들에 대해 발굴해내고 소프트웨어 취약점을 빠르게 제거해 오고 있다.
보안 취약점 포상제도는 취약점을 연구하는 개인 및 기업에게도, 또 인터넷 서비스를 제공하는 기업들에게도 공격자가 취약점을 발견하고 악용하기 이전에 빠르게 제거하여 고객을 보호하는 데에도 도움을 주고 있다.
이 제도를 장기간 운영해 온 덕분에, 국내 이용율이 높았으나 아직까지 보안 전문인력을 갖추지 못해 상대적으로 보안이 부족했던 제품들에 대해 취약점을 발견 및 대응을 할 수 있는 긍정적인 효과를 거두고 있다는 점에서 효용성이 높은 취약점 제거 방법이라 할 수 있다.
(참고로, 파급도가 높은 취약점을 다수 발굴하여 신고한 화이트햇 해커들에게 동기부여가 될 수 있도록 명예의 전당 (https://krcert.or.kr/consult/software/honorList.do) 도 운영되고 있다.)
그간 가상화폐거래소의 정보보안은, 가상화폐거래소 운영과 관련된 네트워크, 서버의 보안 및 보안 정책이 잘 운영될 수 있는 체계를 갖추었는가를 점검한 뒤, 충분한 정보보호 관리체계를 유지하고 있고 지속적인 개선이 이루어지고 있는 경우 ISMS (정보보호관리체계) 인증을 부여 받는 정도였다고도 할 수 있었다.
가상화폐거래소의 경우, 전세계의 모든 이용자들이 높은 동시접속 수를 보이며 이용하고 있고, 안정적이고 지연 없는 거래가 무엇보다도 중요하기 때문에 보안의 기밀성 (confidentiality) 와 무결성 (integrity) 보다는 서비스가 장애없이 잘 운영되고 있는 가와 관련된 가용성 (availability) 보장에 초점이 맞추어진 경향이 있다.
특히 블록체인, NFT 와 같은 체계는 상대적으로 최근에 등장한 서비스 유형이기 때문에 알려진 취약점 보다는 아직까지 알려지지 않은 취약점들이 더 많다고 볼 수 있기에 일종의 보안 전문가들의 집단 지성을 활용하여 취약점을 발견해 내는 버그바운티 제도가 필요한 분야라 할 수 있다.
맺으며
버그바운티는 앞에서 이야기 한 것처럼 많은 강점들도 있으나, 누구나 운영할 수 있는 제도는 아니다. 발견된 취약점을 빠르게 조치할 수 있는 기술적 수준에 도달했을 때 그 빛을 발한다고 할 수 있다. 어느 정도 회사에 공격들을 탐지하고 대응할 수 있는 역량이 갖춰지지 않은 상태애서 섣불리 버그바운티를 운영하게 되면 단기적으로 더 많은 취약점이 외부에 노출되는 우려 역시 불러 일으킬 수 있다. 화이트햇 해커 (선의의 해커) 뿐 아니라 블랙햇 해커 (악의적인 목적의 해커)들에게도 취약점 발굴을 빌미로 공격을 적극적으로 시도해볼 수 있는 공식적인 명분을 제공해 줄 수 있기 때문이다. 이러한 어려움에도 불구하고 대외적으로 버그바운티 제도를 운영하고 기업들에 찬사를 보낸다. 자사의 서비스 취약점 개선에 적극적으로 나서는 기업들이 더 많아질 때 보다 안전한 서비스가 이루어 질 수 있을 것으로 기대된다.
*본 조사분석 자료는 당사가 신뢰할 만한 자료 및 정보를 기초로 참고가 될 수 있는 정보제공을 목적으로 작성된 자료이나, 그 정확성이나 완전성을 보장할 수 없습니다.
*본 자료는 개인의 의견을 반영하였으며 회사의 공식적인 견해와 일치하지 않을 수 있습니다.
*본 자료는 투자를 유도하거나 권장할 목적이 없으며, 투자자의 투자 판단에 참고가 되는 정보 제공을 위한 자료입니다.
*투자 여부, 종목 선택, 투자 시기 등 투자에 관한 모든 결정과 책임은 투자자 본인에게 있으며, 본 자료는 투자 결과 에 대한 법적 책임소재의 증빙자료로 사용될 수 없습니다.
김휘강 교수現 고려대학교 사이버국방학과, 정보보호대학원 교수現 AI Spera 공동창업자現 KISA ISMS (ISMS-P) 인증위원회 위원現 금융보안원 금융보안자문위원