버그바운티

관련 뉴스 :

- [보안뉴스] 한국형 버그 바운티, 보안 취약점 신고 포상제의 모든 것 (2014-10-07)

- [보안24] 버그 바운티 제도 도입 시급하다 (2015-11-02)

- [보안뉴스] 버그바운티 노리는 상금 사냥꾼, 그 위에 슈퍼 헌터 (2016-06-10)

- [IT World] "버그 포상금 높아지고, 각 산업군으로 확산 추세" ...버그크라우드의 2016 버그 포상금 실태 보고서 (2016-06-14)

관련 사이트 :

- 한국버그바운티 : http://www.bugbounty.co.kr/

Bug Bounty

2012년 10월부터 한국인터넷진흥원이 운영하는 신고 포상제는 페이스북, 구글, 마이크로소프트 등 글로벌 기업에서 실시하는 버그 바운티를 모티브로 한 제도다. 버그바운티는 기업 등이 자사 서비스나 제품의 보안성 강화를 위해 취약점을 찾아 신고해준 사람에게 포상금을 지급하는 프로그램이다.

웹 서비스나 소프트웨어의 취약점을 찾아주는 이들에 대해 보상을 하는 제도로, 외국의 경우 마이크로소프트나 구글, 이베이 등이 참여하며 활성화돼 있다. 현재 미국의 경우 취약점을 찾아주면 수억원까지 포상을 하고 있다.

버그 헌터 (Bug hunters), 수퍼 헌터 (Super hunters)

취약점을 찾고 보고해 수익을 얻는 버그 헌터는 누구일까? 버그크라우드는 연구원 계정이 2만 6,000개 이상이며 총 112개국 출신으로, 인도(43%)와 미국(13%)이 가장 많은 부분을 차지한다고 밝혔다. 이 연구원들의 약 75%는 18~29세다. 19%는 30~44세다. 88%는 최소한 1년 동안 대학을 다녔으며 55%는 학사 또는 대학원 학위를 보유하고 있다.

수천 달러를 벌고 때로는 버그 바운티(Bug bounty)를 전업으로 하는 연구원들인 "수퍼 헌터(Super hunters)"도 등장했다. 이 보고서는 "소득 순위 10위 안에 드는 연구원들이 총 지불금의 23%를 차지했다"고 밝혔다.

페이스북, 구글, 야후와 같은 IT 거인들이 버그바운티를 시작하고 실제로 약 1천만 달러를 버그바운티에 투자하는 등 시장 규모를 확 늘려버리면서 ‘현상금 사냥꾼’들이 생겨나기 시작했다. 하지만 아직 보안 전문가들 대다수(85%)는 버그바운티 참가를 주요 생계수단으로 삼고 있지 않다. 취미로, 혹은 흥미해소, 자기계발을 위해 파트타임으로 버그바운티에 참가한다. 70%는 버그바운티에 투자하는 시간이 일주일에 10시간도 되지 않는다. 그러나 버그바운티 자체의 성과가 좋기 때문에 기업들은 계속해서 상금을 늘리고 프로그램을 확대하고 있다. 

최근 버그바운티 현황

버그크라우드에 등록된 버그바운티 프로그램의 평균 상금액은 2014년 200.81 달러였으나 한 해만에 294.70 달러로 47%나 증가했다. 2016년 1사분기만 집계한 결과 평균 상금은 505.79 달러로 한층 더 높아졌다.

현재 버그바운티 프로그램은 산업을 가리지 않고 활발히 도입되고 있는 중이다. “버그바운티가 돈 많은 기업들이 사회 환원 차원에서 혹은 복지 차원에서 진행되는 게 아니라 정식 보안 평가 측정의 수단으로서 정착되어 가고 있는 분위기다.

가장 많은 버그바운티를 진행하는 업체는 소프트웨어 회사와 인터넷 회사다. 그 뒤로 금융계와 은행권이 바짝 쫓고 있으며 IT, 컴퓨터, 네트워크 보안, 전자상거래, 도소매가 차례로 다음 자리들을 꿰찼다.

그럼에도 불구하고 버그크라우드의 보고서는 "버그 포상금 시장이 빠르게 성장하고 있지만, 최근 포브스(Forbes) 2,000대 기업 목록의 기업 가운데 94%가 현재 취약점 공개 또는 버그 포상금 프로그램이 없다고 밝힌 연구 보고서에서 볼 수 있듯이 갈 길이 아직 멀다"고 밝혔다.

신고 포상제 운영방식

S/W 신규 보안 취약점은 인터넷침해대응센터 취약점신고 홈페이지(http://www.krcert.or.kr/kor/consult/consult_04.jsp)를 통해 접수받고 있다. 소프트웨어신규 보안 취약점을 발견해 신고를 하면 KISA 취약점분석팀에서 악성코드 유포가 가능한지 등을 검증한 후 해당 소프트웨어 개발사에게 취약점 보고서를 보낸다. 이후 해당 소프트웨어 개발사가 패치를 개발해 배포하는 형식으로 운영된다.

취약점을 신고 받고 분석하는 과정은 일년 내내 이뤄지나 포상은 3월, 6월, 9월, 12월로 나눠 각 분기별로 이뤄진다. KISA는 분기마다 교수, 외부전문가 등으로 구성된 평가위원에게 신고 접수된 모든 취약점의 1차 평가 내용을 브리핑한다.

각 취약점마다 출현도, 영향도, 공격의 효과성, 발굴수준 등에 대한 평가위원들의 의견을 수렴한 뒤 그들의 의견을 점수화한다. 접수된 소프트웨어 보안 취약점이 신규 취약점으로 인정된 경우 최소 30만원부터 최대 500만원까지 포상금이 지급된다.

취약점 분석가들이 취약점 신고 시에 유의해야 할 사항도 있다. 평가에 필요한 정보가 누락될 수 있으므로 반드시 한국인터넷침해대응센터 취약점신고 페이지에서 신고양식을 다운받아 작성한 뒤 홈페이지에 업로드해야 한다. 또한 홈페이지 취약점 등 현재 운영중인 서비스나 시스템에 공격을 시도할 경우 타사의 시스템을 침해하는 행위이기에 포상에서 제외된다.

기준에 부합하지 않는 신고 건수에 대해서는 제보 받은 내용에서 개인정보만 삭제한 후 해당 기업에 패치를 요청하며, 제보자에게도 기준에 부합하지 않아 평가대상에서 제외된다는 안내 메일이 발송된다.