2017.01.10

기업들이 해킹 현상금을 거는 이유와 풀어야 할 과제

John Brandon | CSO
멋드러지게 2만 달러를 벌고 싶다면?

이미 몇년 전에 나온 휴대용 게임 콘솔인 닌텐도 3DS를 해킹하면 된다. 해커원(HackerOne)에 자세한 내용이 나와 있다. 닌텐도 3DS 시스템에서 취약점을 발견하는 해커에게는 현금이 지급된다.



닌텐도3DS에서 게이머는 게임을 구매하고 나이, 성별 등의 개인 정보를 저장한다. 물론 현상금에는 범위가 있어서 일부는 100달러에 그친다. 또한 보고서를 제출하는 사람은 누구나 정확한 템플릿에 따라야 한다.

여기서 궁금해진다. 거대 일본 게임 업체가 이와 같은 현상금을 내거는 이유가 무엇일까? 내부 보안 연구원들을 두고도 따로 이러한 비용을 지출할 가치가 있을까?

애플, 우버, 옐프를 포함한 많은 기업이 정기적으로 현상금을 내건다. 보도에 따르면 애플은 신형 아이폰에서 익스플로잇을 발견할 경우 최대 20만 달러까지 지급한다. 이런 비용 지출에는 당연히 그럴 만한 가치가 있다. 가치가 없다면 현상금 프로그램도, 해커원 같은 사이트도 애초에 존재하지 않을 것이다.

ID 및 접근 관리 업체 원로그인(OneLogin) CSO 알바로 호요스는 "현상금 제도의 가장 큰 이점은 참여하는 연구원들이 해커처럼 생각하면서 해커처럼 취약점을 찾기 위해 노력하게 된다는 것"이라며, "이런 해커의 시각뿐만 아니라 훨씬 더 많은 수의 연구원이 지속적으로 시스템을 테스트하기 때문에 이를 통해 내부 또는 외부 침투 테스트 팀이 놓칠 수 있는 문제를 발견할 수 있다"고 말했다.

엔드포인트 보호 업체 아칼비오 테크놀로지(Acalvio Technologies)의 최고 보안 설계자 크리스 로버츠는 해킹 현상금이 확산되는 데는 도움을 제공하고자 하는 체계화된 커뮤니티의 힘이 크다고 말했다.

버그크라우드(BugCrowd), 버그시트(BugSheet)와 같은 사이트 덕분에 규모가 큰 기업도 현상금을 게시하고 연구 결과물을 받아보고 현상금을 지급하기가 쉬워졌다.

로버츠는 경우에 따라 그냥 고맙다는 인사말만 하는 기업도 있지만 자신도 취약점을 찾아 3,000~5,000달러의 현상금을 받은 적이 있다고 말했다. 또한 해커가 발견할 수 있는 버그를 찾는 대가로 자신의 팀이 받은 총 현상금이 2만 5,000달러에 이른 경우도 있다고 전했다.

현상금 제공이 갖고 있는 과제
로버츠는 기업들이 현상금을 제공하거나 현상금 프로그램을 마련할 준비가 되지 않은 경우도 있다고 지적했다. 한 가지 큰 과제는 취약점에 부합하는 적당한 양의 현상금을 정하는 일이다.

로버츠는 "현상금 액수 문제로 연구원들과 마찰이 생길 수 있다"며, "현재 IT 보안 예산을 더 낮추고자 하는 경우라도 사람들의 의견과 이에 대한 응답, 발견된 결과물을 잘 관리해야 한다. 제출된 결과를 처리할 인력을 증원해야 하지 않으면 응답을 받지 못한 사람들의 분노에 직면하게 될 것"이라고 말했다.

로버츠는 버그가 발견된 이후 해커가 신원 노출을 꺼려 회사 법무 팀과의 협조를 원하지 않는 경우도 있다고 말했다. 모든 세부 사항이 기술되어 있는 복잡한 보고 템플릿을 철저히 읽어보길 원하지 않는 연구원들도 있다. 또한 예들 들어 연구원 전용 테스트 환경을 마련하는 등 프로그램을 적절히 구성하지 않을 경우 실제 공격을 포착하기가 어려울 수 있다.

호요스는 현상금에서 한 가지 잠재적 과제는 현상금이 새로운 서비스, 도구 또는 앱에 대한 관심을 끌어 모으게 된다는 점이라고 말했다. 즉, 애플 또는 우버와 같은 기업이 확실하진 않지만 취약점의 존재 가능성을 의심하고 있음을 사이버 범죄자가 알게 된다는 것이다.

호요스는 "보고된 버그를 적시에 수정할 리소스가 없을 경우 이론적으로 점점 더 많은 제 3자가 악용 가능한 버그의 존재를 알게 되는 것"이라며, "이런 버그를 인식하는 제 3자가 많아질수록 그 가운데 한 명이 버그를 악의적인 공격자에게 알리거나 스스로 악용할 가능성은 높아진다. 이는 물론 가능한 최악의 결과를 가정한 것이고 그 버그가 극히 가치있는 것일 때의 이야기"라고 말했다.

사이버 보안 업체 TDI CEO 폴 이넬라는 현상금 프로그램이 실패로 돌아가는 경우도 있다고 말했다. 해커가 익스플로잇을 발견하고 회사에 이를 알려 보상금을 받기보다는 자신이 발견할 것을 다크 웹에 파는 경우가 있다. 현상금 프로그램으로 인해 새로운 문제가 발생하는 것이다.

양쪽에서 기대할 수 있는 것
현상금 제공(또는 익스플로잇을 찾는 연구원이 되는 것) 역시 문제가 될 수 있다. 많은 측면에서 보안 전문가를 채용하고 자체 침투 테스트를 실행하고 보안 인프라를 구축하는 것보다 현상금을 내거는 편이 편하게 느껴지기 때문이다.

이넬라는 "회사의 방어를 이해하지 못하기 때문에 이 방법을 사용한다면, 즉 공격을 탐지하고 이에 대처할 역량이 없다면 현상금을 거는 방법은 사용하지 말아야 한다"면서 "현상금 프로그램은 견고한 사이버 방어를 구축한 기업이 사용해야 한다. 현상금 프로그램은 기본적으로 아웃소싱을 통해 연대 사이버 보안 테스트의 일부로 사용되어야 한다"고 말했다.

아즈텍 컨설팅(AsTech Consulting)의 보안 설계자 네이던 웬즐러에 따르면, 익스플로잇을 찾기 위한 윤리적 해킹에 뛰어드는 것을 쉽게 생각해서는 안 된다. 해킹 현상금을 내거는 경우는 늘고 있지만 이와 함께 현상금 액수가 낮아지는 추세도 있다는 것이다. 예를 들어 우버는 현상금 프로그램을 시작한 이후 총 81만 9,085달러를 지급했고 최고 현상금 수준은 5,000~1만 달러지만 평균 지급액은 익스플로잇당 750~1,000달러 수준이다.

방화벽 관리 업체 파이어몬(FireMon) CTO 폴 칼라타유드는 대기업에서 제로데이 익스플로잇을 찾을 경우 100만 달러 단위에 이르는, 훨씬 더 높은 금액을 받을 수 있다고 말했다. 이 정도면 상당히 구미가 당기는 금액이다. editor@itworld.co.kr  


2017.01.10

기업들이 해킹 현상금을 거는 이유와 풀어야 할 과제

John Brandon | CSO
멋드러지게 2만 달러를 벌고 싶다면?

이미 몇년 전에 나온 휴대용 게임 콘솔인 닌텐도 3DS를 해킹하면 된다. 해커원(HackerOne)에 자세한 내용이 나와 있다. 닌텐도 3DS 시스템에서 취약점을 발견하는 해커에게는 현금이 지급된다.



닌텐도3DS에서 게이머는 게임을 구매하고 나이, 성별 등의 개인 정보를 저장한다. 물론 현상금에는 범위가 있어서 일부는 100달러에 그친다. 또한 보고서를 제출하는 사람은 누구나 정확한 템플릿에 따라야 한다.

여기서 궁금해진다. 거대 일본 게임 업체가 이와 같은 현상금을 내거는 이유가 무엇일까? 내부 보안 연구원들을 두고도 따로 이러한 비용을 지출할 가치가 있을까?

애플, 우버, 옐프를 포함한 많은 기업이 정기적으로 현상금을 내건다. 보도에 따르면 애플은 신형 아이폰에서 익스플로잇을 발견할 경우 최대 20만 달러까지 지급한다. 이런 비용 지출에는 당연히 그럴 만한 가치가 있다. 가치가 없다면 현상금 프로그램도, 해커원 같은 사이트도 애초에 존재하지 않을 것이다.

ID 및 접근 관리 업체 원로그인(OneLogin) CSO 알바로 호요스는 "현상금 제도의 가장 큰 이점은 참여하는 연구원들이 해커처럼 생각하면서 해커처럼 취약점을 찾기 위해 노력하게 된다는 것"이라며, "이런 해커의 시각뿐만 아니라 훨씬 더 많은 수의 연구원이 지속적으로 시스템을 테스트하기 때문에 이를 통해 내부 또는 외부 침투 테스트 팀이 놓칠 수 있는 문제를 발견할 수 있다"고 말했다.

엔드포인트 보호 업체 아칼비오 테크놀로지(Acalvio Technologies)의 최고 보안 설계자 크리스 로버츠는 해킹 현상금이 확산되는 데는 도움을 제공하고자 하는 체계화된 커뮤니티의 힘이 크다고 말했다.

버그크라우드(BugCrowd), 버그시트(BugSheet)와 같은 사이트 덕분에 규모가 큰 기업도 현상금을 게시하고 연구 결과물을 받아보고 현상금을 지급하기가 쉬워졌다.

로버츠는 경우에 따라 그냥 고맙다는 인사말만 하는 기업도 있지만 자신도 취약점을 찾아 3,000~5,000달러의 현상금을 받은 적이 있다고 말했다. 또한 해커가 발견할 수 있는 버그를 찾는 대가로 자신의 팀이 받은 총 현상금이 2만 5,000달러에 이른 경우도 있다고 전했다.

현상금 제공이 갖고 있는 과제
로버츠는 기업들이 현상금을 제공하거나 현상금 프로그램을 마련할 준비가 되지 않은 경우도 있다고 지적했다. 한 가지 큰 과제는 취약점에 부합하는 적당한 양의 현상금을 정하는 일이다.

로버츠는 "현상금 액수 문제로 연구원들과 마찰이 생길 수 있다"며, "현재 IT 보안 예산을 더 낮추고자 하는 경우라도 사람들의 의견과 이에 대한 응답, 발견된 결과물을 잘 관리해야 한다. 제출된 결과를 처리할 인력을 증원해야 하지 않으면 응답을 받지 못한 사람들의 분노에 직면하게 될 것"이라고 말했다.

로버츠는 버그가 발견된 이후 해커가 신원 노출을 꺼려 회사 법무 팀과의 협조를 원하지 않는 경우도 있다고 말했다. 모든 세부 사항이 기술되어 있는 복잡한 보고 템플릿을 철저히 읽어보길 원하지 않는 연구원들도 있다. 또한 예들 들어 연구원 전용 테스트 환경을 마련하는 등 프로그램을 적절히 구성하지 않을 경우 실제 공격을 포착하기가 어려울 수 있다.

호요스는 현상금에서 한 가지 잠재적 과제는 현상금이 새로운 서비스, 도구 또는 앱에 대한 관심을 끌어 모으게 된다는 점이라고 말했다. 즉, 애플 또는 우버와 같은 기업이 확실하진 않지만 취약점의 존재 가능성을 의심하고 있음을 사이버 범죄자가 알게 된다는 것이다.

호요스는 "보고된 버그를 적시에 수정할 리소스가 없을 경우 이론적으로 점점 더 많은 제 3자가 악용 가능한 버그의 존재를 알게 되는 것"이라며, "이런 버그를 인식하는 제 3자가 많아질수록 그 가운데 한 명이 버그를 악의적인 공격자에게 알리거나 스스로 악용할 가능성은 높아진다. 이는 물론 가능한 최악의 결과를 가정한 것이고 그 버그가 극히 가치있는 것일 때의 이야기"라고 말했다.

사이버 보안 업체 TDI CEO 폴 이넬라는 현상금 프로그램이 실패로 돌아가는 경우도 있다고 말했다. 해커가 익스플로잇을 발견하고 회사에 이를 알려 보상금을 받기보다는 자신이 발견할 것을 다크 웹에 파는 경우가 있다. 현상금 프로그램으로 인해 새로운 문제가 발생하는 것이다.

양쪽에서 기대할 수 있는 것
현상금 제공(또는 익스플로잇을 찾는 연구원이 되는 것) 역시 문제가 될 수 있다. 많은 측면에서 보안 전문가를 채용하고 자체 침투 테스트를 실행하고 보안 인프라를 구축하는 것보다 현상금을 내거는 편이 편하게 느껴지기 때문이다.

이넬라는 "회사의 방어를 이해하지 못하기 때문에 이 방법을 사용한다면, 즉 공격을 탐지하고 이에 대처할 역량이 없다면 현상금을 거는 방법은 사용하지 말아야 한다"면서 "현상금 프로그램은 견고한 사이버 방어를 구축한 기업이 사용해야 한다. 현상금 프로그램은 기본적으로 아웃소싱을 통해 연대 사이버 보안 테스트의 일부로 사용되어야 한다"고 말했다.

아즈텍 컨설팅(AsTech Consulting)의 보안 설계자 네이던 웬즐러에 따르면, 익스플로잇을 찾기 위한 윤리적 해킹에 뛰어드는 것을 쉽게 생각해서는 안 된다. 해킹 현상금을 내거는 경우는 늘고 있지만 이와 함께 현상금 액수가 낮아지는 추세도 있다는 것이다. 예를 들어 우버는 현상금 프로그램을 시작한 이후 총 81만 9,085달러를 지급했고 최고 현상금 수준은 5,000~1만 달러지만 평균 지급액은 익스플로잇당 750~1,000달러 수준이다.

방화벽 관리 업체 파이어몬(FireMon) CTO 폴 칼라타유드는 대기업에서 제로데이 익스플로잇을 찾을 경우 100만 달러 단위에 이르는, 훨씬 더 높은 금액을 받을 수 있다고 말했다. 이 정도면 상당히 구미가 당기는 금액이다. editor@itworld.co.kr  


X