보안

IT 보안에 크라우드소싱이 필요한 이유와 주요 서비스

Roger A. Grimes | CSO 2018.08.30

IT 인프라스트럭처와 애플리케이션, 그리고 서비스를 안전하게 보호하기 위해 중요한 활동 가운데 하나가 바로 화이트 햇 해커(white hat hacker)를 고용해 해킹 테스트를 해 보는 것이다. 애초에 해커의 공격을 원천 차단할 방법이 없는 이상, 차라리 해커의 입장이 되어 대비하자는 것이다. 하지만 모든 기업이 다 침투 테스트 팀을 고용할 수 있을 만큼 자원이 풍족한 것은 아니다.

시장에는 물론 적절한 가격만 지불하면 취약점 테스트나 침투 테스트를 기꺼이 해 줄 명망높은 기업이 많다. 하지만 급하게 완수해야 하는 프로젝트에서 마지막 순간에 부랴부랴 적절한 업체를 선정해 테스트를 진행하기란 쉽지 않을 것이다. 다행히도 대안은 있다.

이런 경우 크라우드소싱(Crowdsourcing)을 활용하면 합리적인 비용만을 들이고도 짧은 시간 안에 원하는 결과를 얻을 수 있다. 크라우드소싱은 인력 시장의 이베이라고 할 수 있다. 적절한 타이밍에, 필요한 인재를, 적당한 비용으로 고용할 수 있기 때문이다.

크라우드소싱, 중개 업체를 거쳐야 하는 이유
물론 IT 보안 인재를 크라우드소싱 했을 때 단점이 없는 것은 아니다. 예를 들어 회사 시스템을 해킹하는 사람인만큼 신원이나 이력을 어떻게 확인하고 보증할 것인지, 또 이런 인력에 적절한 임금은 어느 정도인지도 불분명하다.

또한 크라우드소싱 전 과정을 어떻게 시작하고, 추적하고, 통제할 것인지도 문제다. 따라서 사전에 기획해 둔 크라우드소싱 프로그램이 없다면 기껏 크라우드소싱을 통해 절감한 비용이 이에 따르는 시간 및 리스크로 인해 상쇄돼 버리고 만다.

특히 지원자들에 대해 잘 모를 경우, 그들이 경력이나 경험에 대해 거짓말을 할 위험도 있고, 최악의 경우 침투 테스트가 아니라 다른 짓(?)을 하는 불상사가 발생하기도 한다. 해킹 테스트를 아웃소싱 할 때 가장 큰 리스크는 무엇보다도 이들이 일을 하며 알게 된 사실을 추후에도 계속해서 남용하게 되는 것이다. 단지 자사에 고용이 되었다 뿐이지, 기본적으로는 이들은 해커들이다.

다행히도 이런 독립 해커들의 신원을 확인, 보증하는 절차를 확립하고 중개자로 활동하는 업체들이 적지 않다. 일정한 수수료를 지불하면 이들 업체는 해커의 신원을 확인하고 보증해 준다. 해당 해커가 정말 자부하는 정도의 실력이 있고 믿을 만한 사람인지 말이다.

또한 크라우드소싱 과정 전반에 요구되는 프로그램과 프레임워크를 제공하는 등 크라우드소싱을 하고자 하는 기업에서 미처 챙기기 어려운 어렵고 귀찮은 일들을 처리해 준다.

크라우드소싱 보안 업체의 주요 서비스
필자는 크라우드소싱이라는 개념 자체도, 또 크라우드소싱 업체도 좋아한다. 대표적인 중개업체로는 사이낵(Synack), 버그크라우드(Bugcrowd), 그리고 해커원(HackerOne) 이 있다. 각 업체는 저마다의 방식으로 화이트 햇 해킹 서비스를 원하는 기업에게 해커 인력을 공급하고 있다. 대부분 크라우드소싱 보안 업체들은 다음의 세 가지 주요 서비스를 기본적으로 제공한다.

- 취약점 노출(Vulnerability disclosure)
- 침투 테스트(Penetration testing)
- 버그 바운티 프로그램(Bug bounty programs)


- 취약점 노출
취약점 노출이란 새로운 버그가 발견될 경우 서드파티 해커가 어디서, 어떻게 고객 및 중개자에게 연락을 취해야 하는 지를 규정한 취약점 노출 프로그램이다.
이 취약점 노출 프로그램에는 고객사와 중개자, 그리고 해커 각자의 책임과 기대 역할이 포함된다. 공급업체에게 버그를 수정할 기회를 제공하지 않은 채 일반에 "무책임하게" 취약점을 노출한 많은 해커는 사실 버그를 보고하려 했으나 상대 기업으로부터 응답을 듣지 못했기에 그런 선택을 한 것이다.

- 침투 테스트
침투 테스트는 크라우드소싱 업체들의 주요 수입원이다. 이들은 숙련되고 경험 많은 해커와, 화이트 햇 해커를 필요로 하는 고객사 사이에서 사전 합의된 금액으로 사전에 합의된 범주의 업무를 중개한다.

중개 업체들에서 알선하는 해커들은 대부분 파트 타임으로 침투 테스트에 투입된다. 풀타임으로 하는 경우는 드물고, 이 중에는 이것만으로 상당한 벌이를 하는 해커들도 있다. 일거리를 하나 맡을 때마다 해커가 어느 정도의 임금을 받는 지는 그들이 가진 기술과 경력, 그리고 맡게 되는 일거리에 따라 다르다.

버그크라우드에 따르면, 정부기관의 자원을 안전하게 보호하기 위한 일과 같이 좋은 뜻에 쓰이는 일인 경우, 재능 기부를 하는 해커들도 있고, 받은 돈을 자선 단체에 기부하기도 한다.

- 버그 바운티 프로그램
버그 바운티 프로그램 업체와 함께 일을 하면 엄청난 시간과 돈을 절약할 수 있다. 해커들이 보고하는 버그는 사실은 전혀 버그가 아니거나, 버그이긴 하지만 보안에는 영향을 안 미치거나, 혹은 재현이 쉽지 않은 버그인 경우가 많다.

대부분 버그 바운티 프로그램 공급업체는 보고된 버그 가운데 실제로 수정이 필요한 것은 소수에 불과하다고 말한다. 때문에 실제 보고된 문제들 중에서 '실제 문제가 되는' 버그들을 찾아내는 것이 중요하다.

버그 바운티 공급업체는 해커로부터 보고를 받고, 실제 보안에 위협이 되는 버그를 식별해 내며, 심각한 버그와 그렇지 않은 것을 분류하고, 어떤 버그가 손쉽게 재현 가능한 버그인가를 찾아내 현재 유효한 영향을 미치는 공격을 문서화하는 등 가장 시간이 오래 걸리는 업무들을 대신 처리해 준다. 버그를 수정해야 하는 입장에서는 이런 일을 대신 해준다고 하면 두 손 들고 반기지 않을 사람이 없을 것이다.

자체 IT 보안 팀 실력이 아무리 좋아도, 또 내부 및 외부 침투 테스트 팀이 따로 있다고 해도, 여전히 버그 바운티 프로그램과 취약점 노출 프로그램은 IT 보안의 핵심 부분으로써 필요하다. 과거 버그 바운티 프로그램이 필요없다고 판단한 기업들을 여럿 본 적 있는데, 이들조차도 수년간의 시행착오 끝에 결국은 버그 바운티 프로그램을 도입할 수 밖에 없었다. 처음부터 프로그램을 운영했다면 하지 않아도 될 수고만 한 셈이다.

3개 프로그램, 꼭 배치해야 하는 과제 
앞서 소개한 3개 프로그램은 모든 기업이 예외 없이 배치해야 하는 과제들이다. 버그를 찾았음에도 이를 보고할 경로를 제공하지 않는 고객사 때문에 괴로워하거나, 심지어 화를 내는 선량한 해커들을 많이 알고 있다.

때로는 버그를 보고했음에도 이에 대해 효과적으로 대처하지 않거나, 해커가 찾은 버그가 중요하지 않은 것이라고 치부하고 넘어가 버리는 경우(실제로 중요함에도 불구하고)도 있다. 어차피 이들은 고객사를 위해 좋은 의도를 가지고 보고하는 것인데, 이들의 일을 더 어렵게 만들 필요는 없다.


만약 이 3개 프로그램들 가운데 자사에 부족하다고 느껴지는 것이 있다면 전문 업체(크라우드소싱 업체이건, 일반 업체이건 상관 없이)를 통해 해당 프로그램을 도입, 보완하는 것이 좋다. 대부분 업체은 이들 서비스를 1회성 또는 즉석 프로젝트로 제공한다. 그런가 하면 코드 리뷰나 교정, 그리고 스탭 증대(staff augmentation)과 같은 부가 서비스를 제공하기도 한다. 이들 업체는 중개하는 해커나 서비스의 플랫폼, 가격 모델, 그리고 해커의 경력 및 실력의 검증 정확도 등으로 타 업체와 차별화하려 한다.

크라우드 소싱 해커, 비용은 얼마나 될까
필자가 인터뷰한 기업 가운데 어느 곳도 가상의 시나리오에 대해 구체적인 비용(숫자)을 얘기하지 않았다. 하지만 크라우드소싱을 통해 해커 레드 팀을 고용해 수 주일 간 제한적 업무를 맡겼을 때 드는 비용이 수천 달러에서 수만 달러 정도의 범위라는 것에는 모두가 동의했다.

여기서 고용하는 해커 수를 늘리고, 업무 범위가 넓어질수록, 또 고용하는 해커의 전문성이나 경력이 뛰어나고 프로젝트가 수주일에서 수개월로 늘어 날수록 비용도 수만 달러 이상 늘어나게 된다. 하지만 크라우드 소싱을 통해 드는 비용이 어느 정도이건 간에, 내부 해킹 테스트 팀을 만드는 것보다는 무조건 적게 들 것이며 크라우드 소싱 없이 비슷한 서비스를 제공하는 업체를 이용하는 것보다도 저렴한 경우가 많다.

최근 라스베가스에서 열린 블랙 햇 USA 2018 행사에서 필자는 사이낵과 버그크라우드의 경영진을 인터뷰 할 기회를 가졌다.

사이낵 프로필
사이낵은 최고 수준의 아웃소싱 공급업체로, 주로 대규모 기업 고객을 상대한다. 사이낵은 유명 대기업과 단체들을 고객으로 하는 고객사 목록을 가지고 있으며 특히 인력 검증 프로세스와 프로그램의 퀄리티에 집중하고 있다. 또한 다양한 서비스를 제공하는 것으로도 유명하다. 필자는 사이낵의 CMO 에이슬링 맥러널과 인터뷰했다.

필자가 기업 보안 평가 분야에서 인공지능이 인간 노동력을 대체할 날이 올 것 같으냐고 묻자 맥러널은 "그러기는 힘들 것이다. 무인 보인보다는 무인 자동차를 보는 것이 훨씬 빠를 것 같다. 인간의 지능을 앞지르는 기술을 개발하기란 불가능하다. 상황을 문맥적, 맥락적으로 판단하는 인간의 지능은 자동화 프로그램에 쉽게 투영하기 어려운 성질의 것이다. 사이낵만 해도 취약점 평가 스캔을 먼저 진행해 손쉬운 취약점들부터 찾아내고, 이 정보를 해커들에게 제공한다. 그런데 막상 보면 해커들이 훨씬 많고, 중요한 것들을 찾아낸다. 즉 기술은 취약점 탐색의 물꼬를 틀 뿐이지, 중요한 일은 인간 해커들이 도맡아 한다"고 대답했다.

맥러널은 사이낵의 해커 평가 프로그램을 자랑스럽게 소개했다. "사이낵은 전 세계 55개 국가의 1,000여 명 이상의 해커 인력을 보증하고 있다. 우리 플랫폼에서 인정 받기 위해서는 수개월이 걸린다. 사이낵의 해커 인력은 모두 '평균 이상'이다"고 설명했다.

보안 테스트의 과정 관리 측면에서도 사이낵은 고객사가 침투 테스트의 모든 단계를 모니터링하고, 모든 취약점을 볼 수 있는 고객 포털을 제공하고 있다. 맥러널은 "고객사 입장에서 이미 알고 있는 문제들은 건너 뛸 수 있고, 심지어 프로젝트 전체를 즉시 중지시킬 수도 있다. 사이낵은 고객사에게 찾아낸 문제점들의 상세정보와 스크린샷을 보낸다. 궁금한 점이 있으면 연구원에게 직접 연락해 질문할 수 있다. 초창기 사이낵의 보안 검증 프로세스에 회의적이던 고객들도 결국 신뢰하고, 또 사이낵의 연구원들을 믿고 있다. 사이낵의 플랫폼과 연구원, 그리고 이를 신뢰한 고객들은 점점 더 많은, 그리고 다양한 업무를 일임해 온다"고 말했다.

맥러널은 사이낵의 가격 책정 모델이 타사와 차별화하는 요소라고 말했다. 사이낵은 버그 당 가격을 책정하지 않고 고정 요율을 받고 있다. 맥러널은 "고객은 자신이 지불한 돈이 어디에 쓰이는 지를 분명히 알 권리가 있다"고 말했다.

사이낵의 연구원들은 후한 대우를 받고 있다. 맥러널은 "임금은 반드시 24시간 이내로 지불한다. 유능한 연구원들의 신뢰를 얻기 위해서이고, 또 사이낵이 그들의 전문성을 인정하고 있음을 보여주기 위해서다"고 설명했다. 침투 테스트를 진행하는 화이트 햇 해커들이 24시간 이내에 임금을 지불받는 경우는 상당히 드물기 때문에 상당한 차별점이라고 할 수 있다. 대부분 해커들은 한 달 이상이 지나서야 임금을 받는다.

버그크라우드 프로필
버그크라우드는 또 다른 최고의 IT 보안 크라우드소싱 업체로, 기업 규모를 막론하고 50개 이상의 다양한 고객사를 확보하고 있다. 필자가 인터뷰 한 것은 버그크라우드 CEO 아쉬시 굽타와 보안 엔지니어 저스틴 비클러, 그리고 수석 마케팅 책임자 미첼 데일리였다.

굽타 역시 AI가 단기간 내에 인간 해커들을 대체하기는 어려울 것이라는 데에 동의했다. 굽타는 "각종 버그 및 이슈를 식별해 내는 것뿐 아니라 이로 인한 보안 리스크를 제대로 파악하고 이해하기 위해서는 여전히 인간의 상상력이 필요하다"고 말했다.

버그크라우드는 해커가 자사의 플랫폼을 통해 버그를 찾아 내고 이에 대해 고객사로부터 돈을 받아도 이에 대한 수수료를 받지는 않는다. 이에 대해 굽타는 "버그크라우드는 버그 바운티에 대해 수수료를 부과하지 않는다. 버그크라우드의 주 수익원은 플랫폼이다"고 말했다.

비클러 역시 "버그를 정확히 보기 위해서는 각기 다른 여러 명의 해커가, 각기 다른 '시선'으로 버그를 찾고 볼 수 있어야 한다. 많은 기업이 수 년에 한 번씩 침투 테스트 팀을 바꾸는 것도 이 때문이다. 크라우드소싱은 이런 새로운 시각을 제공하는 측면에서 매우 효과적이다"고 덧붙였다.

버그크라우드는 취약점 분류체계 평가(Vulnerability Taxonomy Rating) 프로그램을 오픈소스로 운영하고 있는데, 여러 종류의 버그를 어떻게 평가하고 분류할 것인지를 규정한 일종의 프레임워크라 할 수 있다.

가장 중요한 버그들은 P1 이라 부르며, 이보다 중요성이 덜 할수록 P2에서 P5까지 등급이 매겨진다. 모든 버그 식별 프로그램이 이런 평가체계를 가지고 있기는 하지만, 버그크라우드의 오픈소스 프레임워크는 여러 고객사와 해커들이 제공한 인풋을 기반으로 개발해 평가체계를 표준화 했다는 장점이 있다. 객관적이고 표준화된 프레임워크가 없는 상황에서 해커들은 자신이 찾은 버그의 중요성을 P1 등급으로 가장 높게 평가하려는 경향이 있기 때문이다.

한편, 버그크라우드는 오픈소스 버그크라우드 대학(Bugcrowd University)을 설립했다. 다양한 경력과 전문성을 지닌 침투 테스트 전문가들에게 전문 보안 테스팅에 대한 교육을 실시하는 기관이다.

버그크라우드는 또한 고객사들이 SDL(secure development lifecycle) 교육과 관행을 도입하도록 해 애초에 취약점의 수를 줄이도록 지원하고 있다. SDL 교육이 절실히 필요한 이유는 대부분 대학에서 보안 인식과 관련된 내용을 개발자 교육 커리큘럼에 포함하지 않고 있기 때문이다. 버그크라우드는 그 간극을 메우고자 노력 중이다.

크라우드소싱 침투 테스트 업체, 어떻게 골라야 할까
우선 자사에 필요로 하는 서비스가 어떤 것인 지를 분명히 파악하고, 얼마나 자주 그런 서비스를 이용할 것인지, 그리고 예산은 어느 정도를 책정할 수 있는 지를 생각해 보자.

또한 자사의 리스크 관리 모델에 있어 크라우드소싱 방식이 적절한 지도 생각해 봐야 한다. 만일 적절하다고 판단된다면, 보안 평가 프로세스를 철저히 관리하고 리스크를 최소화 할 수 있는 크라우드소싱 기업을 선택하는 것이 우선이다.

후보 업체 몇 곳을 선정해 각 업체에 연락하고, 그들의 서비스와 플랫폼, 이용료, 전문가 관리 프로세스 등에 대한 보다 자세한 정보를 요청한다. 크라우드소싱 업체의 핵심은 그들이 제공하는 플랫폼, 프로세스, 그리고 실제 서비스를 제공할 해커의 신원 및 실력을 검증하는 검증의 정확도에 있다.

무엇보다 중요한 것은 중개업체를 통해 소개받은 해커의 전문성과 신뢰도다. 앞서 소개한 일류 크라우드소싱 업체들을 이용한다면 자체적으로 특정 해커 및 해커 집단들에게 연락을 할 때보다 훨씬 더 전문적이고 신뢰할 수 있는 인력을 소개받을 수 있을 것이다. editor@itworld.co.kr  

회사명 : 한국IDG | 제호: ITWorld | 주소 : 서울시 중구 세종대로 23, 4층 우)04512
| 등록번호 : 서울 아00743 등록발행일자 : 2009년 01월 19일

발행인 : 박형미 | 편집인 : 박재곤 | 청소년보호책임자 : 한정규
| 사업자 등록번호 : 214-87-22467 Tel : 02-558-6950

Copyright © 2024 International Data Group. All rights reserved.