ITWorld 용어풀이 | 버그 바운티(Bug bounty)

ITWorld
"우리 서비스에서 (해킹해) 보안 취약점을 찾으면 취약점 1개당 최대 1만 5,000달러(약 1,700만 원)를 드립니다" 지난 3월 유명 동영상 서비스 업체인 넷플릭스(Netflix)가 시작한 이벤트입니다. 넷플릭스 서비스를 해킹해 보라는 도발인데, 오히려 성공한 사람에게 금전적 보상까지 제공하는 것이 주요 내용입니다. 이처럼 자사 서비스와 제품을 해킹해 취약점을 발견한 (좋은 의미의) 해커에게 포상금을 지급하는 제도를 버그 바운티(Bug bounty) 프로그램이라고 합니다.



언뜻 생각하면 왜 이런 일을 할까 싶지만, 넷플릭스 외에도 구글와 애플, 페이스북, 마이크로소프트, 스타벅스 등 우리나라에도 유명한 많은 기업이 버그 바운티 프로그램을 활용하고 있습니다. 심지어 미국의 안보를 책임지는 부서인 미국 국방부도 이 프로그램을 활용합니다. 이들이 버그 바운티 프로그램을 운영하는 이유는 간단합니다. 보안을 강화하는 가장 '비용효율적인' 방법이기 때문입니다. 버그 바운티가 정말 이 정도로 도움이 되는 걸까요? 해답은 미국 국방부 사례에 있습니다.

그동안 미국 국방부는 전문 업체에 거액을 주고 시스템 보안을 강화해 왔습니다. 2016년 기준 3년간 500만 달러를 지급했고 버그 10개를 잡았습니다. 그런데 같은 해 버그 바운티 행사를 열자 놀라운 일이 벌어집니다. 전 세계 50개국의 해커 1410명이 버그 138개를 찾아낸 것입니다. 첫 버그는 불과 행사 시작 13분 만에 나왔습니다. 당시 지급한 보상금 총액은 7만 5000달러. 1/50도 안 되는 비용으로 올린 성과였습니다. 이후 미국 정부는 미국 공군과 연방 정부 등으로 버그 바운티를 확대했습니다.

버그 바운티는 전 세계의 화이트 해커를 활용해 보안을 강화한다는 점에서 새로운 형태의 보안 개선책으로 주목받고 있습니다. 국내에서도 지난 2012년 한국인터넷진흥원이 도입해 운영 중이고, 올해까지 2600여 건이 접수됐습니다. 삼성전자와 네이버 등도 자체 버그 바운티 프로그램을 운영하는 것으로 알려져 있습니다. 그러나 국내 기업 대부분은 보안 취약점을 알리는 것 자체를 꺼려 널리 확산하지 못하고 있습니다. 포상금도 최대 1000만 원 정도로 해외 기업과 차이가 있습니다.

물론 버그 바운티 프로그램을 운영하는 기업이라고 해도 무작정 해킹하다가는 큰일 납니다. 일반적으로 버그 바운티 프로그램은 화이트 해커와 기업을 연결하는 전문 업체를 이용합니다. 해커원(Hackerone), 버그크라우드(Bugcrowd) 등이 유명합니다. 먼저 업체에 화이트 해커로 등록을 하고, 이 업체의 플랫폼을 통해 의뢰 기업의 시스템을 해킹하는 형태입니다. 보안 취약점을 찾으면 상금 일부를 중계 업체가 떼갑니다. 현재 해커원에 등록한 해커는 16만 명이 넘습니다.

참고자료
위키피디아
해커원 블로그 editor@idg.co.kr