개발자 / 보안

버그의 가치는 얼마인가

Ryan Francis  | CSO 2017.03.22
버그크로우는 버그 보상금을 측정하는 방법에 대해 설명했다.

원패스워드(1Password)는 최근 자체 버그 바운티 최고 상금을 2만 5,000달러에서 10만 달러로 올렸다. 블로그에 따르면, 원패스워드는 연구원들에게 더 많은 인센티브를 주기 위해 금액을 올렸다. 이와 별개로 구글은 자체 취약점 보상 프로그램을 통해 지난해 300만 달러를 지불했다.

그런데, 이 숫자는 어떻게 결정되는 것일까?
버그크로우(Bugcrowd) 부사장 데이비드 베이커는 최근 막대한 상금이 기업들이 이 시장에 대해 실제적으로 생각하기 시작했으며, 이 시장이 취약점 가격을 결정하는 곳이라는 걸 입증하고 있다고 말했다.

"어떤 것이 가치있는 버그인가?"
베이커는 크라우드소스 보안 테스팅을 원하는 기업들이 일반적으로 묻는 공통 질문이라고 말했다.

"버그에 대한 시장이 성숙해짐에 따라 해답은 계속 진화할 것이다. 그러나 성공의 열쇠는 동일하다. 적절한 인센티브와 함께 올바른 연구원들을 유치하는 것이다. 그러나 대부분의 기업이 잘 인식하지 못하는 것은 현상금 지급 범위를 결정하는 데 필요한 여러가지 복잡성이다"고 설명했다.

정해진 범위 내에서 연구원들을 적극적으로 참여하게 만들고 군중들의 이목을 집중하게 만드는 보상금 설정 등으로 시작하는 프로그램은 성숙해질수록 점점 더 복잡해진다.
베이커는 보상금은 언제, 어떻게 지급할 것인지, 기업이 이 프로그램을 최대한 활용할 수 있는 방법과 같은 버그 바운티 프로그램의 범위를 정하는 노하우를 담은 몇 가지 베스트 프랙티스를 소개했다.

- 처음 관계를 잘 맺어야 한다
처음 프로그램 범위를 지정할 때, 그 범위가 해당 프로그램의 성공에 얼마나 중요한 지를 인지해야 한다.
가장 간단한 형태로, 범위는 연구원들에게 테스트해야 할 것과 하지 말아야 할 것을 알려주는데, 이는 자사의 크라우드 소싱 프로그램에서 자사가 원하는 결과를 얻는 데 매우 중요한 역할을 한다. 이는 가격을 책정하는 방법에도 적용된다. 스스로 연구원 입장이 되어보자. 그러면 특정 취약점이 자사에 어느 정도 가치가 있는지 알 수 있다. 그 가치가 바로 지불해야 하는 금액이다.

- 어떤 버그가 가치가 있는 것인지 정의하라
이는 성공적인 범위를 만들 때 조직이 알아야 할 가장 중요한 요소 가운데 하나다. 하지만 이런 정의는 조직, 대상, 그리고 상황에 따라 그리고 자체 보안팀 규모에 따라 다르다.
점점 더 많은 기업이 자사의 비즈니스와 보안 목표를 크라우드소싱 보안 프로그램과 연계시키고 있어 참여 연구원들의 활동이 전반적으로 증가하기 시작했다.
잠재적인 취약점의 비즈니스 영향력을 평가하고 버그를 찾기 위해 시장을 살펴보는 것은 매우 중요하다. 이런 활동을 함으로써 해당 조직은 특정 시점에 이르면 어떤 버그가 가치가 있는 지 정확히 정의내릴 수 있다(이는 변경될 수 있다).

- 적시 적절한 가격
한 기업의 보안 성숙도는 취약점에 대한 보상 방법을 결정하는 데 매우 중요한 요소다.
좀더 성숙한 보안 프로그램을 보유한 기업들은 보안 중심의 프로세스를 갖추고 있기 때문에 취약점을 발견하는 데 더 많은 시간과 노력이 필요하다. 이런 프로그램의 경우, 우선 순위를 기반으로 취약점 유형에 대해 미리 설정해놓은 프로그램 보상을 권장한다. 하지만 보안 조직이 허용하는 만큼 보상액을 증가시키는 것이 중요하다는 점을 기억해야 한다.

- 프로그램의 경쟁력을 확보하라 
프로그램 간 경쟁력을 확보한 프로그램으로 버그 바운티 시장은 상당히 빨리 성장하고 있다.  
많은 기업이 이를 통해 적절한 지침없이도 프로그램을 우수하게 만들고, 최고의 연구원들을 확보하기 위해 노력한다. 
경쟁 우위를 유지하는 것은 막대한 현금 보상이 전부가 아니다. 흥미로운 목표와 넓은 범위는 결과를 공개할 수 있는 기회가 있기 때문에 항상 재능을 끌어들인다. 연구원들에게 공개란 명성의 한 형태가 될 수 있다. 자신이 그 결함을 발견하기까지 사용했던 기술이나 지식을 선보일 뿐만 아니라, 동료나 일반인들에게 해킹 세계에서 발견된 취약점에 대해 가르칠 수 있는 교육의 장이 될 수 있기 때문이다.
또한 시작한 지 얼마 되지 않은 개인들에게는 좋은 경력이 되며 커뮤니티에서 큰 영향력을 발휘할 수 있게 된다.

- 마케팅의 힘
자사의 버그 바운티 프로그램이 갖고 있는 마케팅 능력을 과소평가해서는 안된다. 많은 기업이 버그 바운티 프로그램을 통해 자사의 보안 자세를 보여주는 증거로 사용하고 있다. 상금을 올리는 것은 그만큼 기업과 고객의 보안에 대해 얼마나 심각하게 받아들이는 지를 보여주는 좋은 방법이기 때문이다. editor@itworld.co.kr  

회사명 : 한국IDG | 제호: ITWorld | 주소 : 서울시 중구 세종대로 23, 4층 우)04512
| 등록번호 : 서울 아00743 등록발행일자 : 2009년 01월 19일

발행인 : 박형미 | 편집인 : 박재곤 | 청소년보호책임자 : 한정규
| 사업자 등록번호 : 214-87-22467 Tel : 02-558-6950

Copyright © 2024 International Data Group. All rights reserved.