2011.08.18

“버그 포상금 제도의 부상” 해커에게 돈을 주는 것이 안전한 이유

Alex Wawro | PCWorld
자신의 집에 침입하는 도둑에게 돈을 줄 수 있는가? 대부분의 현명한 사람은 아니라고 답할 것이다. 하지만 점점 더 많은 현명한 기업들이 "그렇다"라고 대답하고 있다. 구글같은 기업들은 자사의 소프트웨어에 침입할 수 있는 구멍을 찾는 해커들에게 상당한 포상을 제공하고 있다.
 
이런 기업들은 종종 버그 하나를 발견하면 수천 달러를 지급하기 때문에 버그 사냥은 상당한 수익으로 이어진다. 그리고 이것과는 차원이 다르지만 마이크로소프트는 자사의 블루햇 프라이즈(BlueHat Prize) 대회에서 윈도우 애플리케이션을 해킹으로부터 보호할 수 있는 최고의 방법을 찾아낸 해커에게 20만 달러의 상금을 지급하기도 했다.
 
관련 기업들은 이런 포상금 프로그램이 자사의 제품을 더욱 안전하게 만든다고 말한다. 구글 웹 애플리케이션 사업부에서 취약점 포상금 프로그램(Vulnerability Reward Program)을 담당하고 있는 보안 프로그램 관리자 아담 메인이 "우리는 더 많은 버그 보고(Bug Report)를 받아 더 많은 버그를 수정함으로써 사용자들에게 더 나은 경험을 제공할 수 있게 된다"면서, "우리는 또한 이런 버그를 찾아내는 전문가들과도 긍정적인 관계를 형성하고 있다”라고 말했다.
 
하지만 이 프로그램은 많은 논란을 불러 일으키고 있다. 마이크로소프트같은 기업들은 포상금을 사람들이 취약점을 찾아내도록 유도하기 위해서가 아니라 악당을 잡기 위해서만 사용해야 한다고 믿는다. 또한 여기에는 더블딥(Double Dip) 문제가 있다. 해커들은 취약성을 찾아내 상금을 받아 내고는 악의가 있는 구매자들에게 이 정보를 팔 수 있는 가능성이 있는 것이다.
 
포상금 전쟁
매년 캔섹웨스트(CanSecWest) 보안 컨퍼런스 기간에 벌어지는 해킹 대회 Pwn2Own은 해커들에게 있어서 월드시리즈 포커대회(World Series of Poker)와도 같다.
 
Pwn2Own 로지스틱스(Pwn2Own Logistics)의 관리자 애런 포트노이는 "거금의 상금 때문에 주요 매스컴들의 관심이 쏟아지고 덕분에 소비자들의 보안 취약성에 대한 인식을 높일 수 있는 기회로 삼고 있다"라면서, "이 대회 때문에 애플이나 구글 같은 기업들은 자사 제품의 보안에 신경 써야 한다는 압박을 받는다"라고 말했다.
 
Pwn2Own에서 스마트폰이나 웹 브라우저 해킹에 성공한 사람은 1만 5,000달러의 상금과 해킹에 사용한 기기를 상품으로 받는다. 구글은 여기에 자사의 제품을 성공적으로 해킹한 보안 전문가에게 추가적으로 2만 달러의 상금을 제공하여 대회에 대한 관심을 증폭시키고 있다. 2007년의 1회 대회 때부터 지금까지 16만 달러 이상이 상금이 제공되었다.
 
하지만 이 정도는 구글이 자사의 제품에 건 포상금에 비하면 새 발의 피에 불과하다. 구글 취약성 포상금 프로그램이 시작된 작년 11월부터 지금까지 크로미움(Chromium, 구글 크롬(Chrome) 브라우저를 위한 오픈소스 기반)이나 구글 웹 애플리케이션의 보안 취약성을 보고한 버그 사냥꾼들에게 총 50만 달러의 상금이 제공되었다.
 
제공된 상금이 상당하지만 결과적으로 구글은 해커들이 침입에 악용하기 전까지는 발견하지 못했을 수백 개의 버그를 찾아내는데 성공했다. 구글은 포상금 덕분에 보안 전문가들이 취약성을 개인적인 목적을 위해 악용하는 대신에 개발자에게 알려주기 때문에 포상금이 그만한 가치가 있다고 생각한다.
 
구글은 이미 한 포상금 사냥꾼을 보안 연구원으로 고용했으며 앞으로 더 많은 보안 연구원을 고용할 것이다. 분명한 것은 거액의 포상금 덕분에 최고의 버그 사냥꾼들이 속속 등장하고 있으며, 이들은 버그를 찾아내는 것으로 생활비를 충당할 만큼 기술이 뛰어나다는 것이다. 예를 들어 크로미움 보안 명예의 전당(Chromium Security Hall of Fame)을 살펴보면 연구원 세르게이 글레이즈노프가 올해 버그 사냥으로 약 2만 달러의 수입을 올렸다는 걸 알 수 있을 것이다. 이 금액은 오직 구글에서만 받은 수입이다. 벤더들이나 티핑포인트(TippingPoint-최근 HP가 인수)같은 보안 연구그룹이 거액의 상금을 제공함에 따라 재능 있는 전문가들은 버그 포상금 사냥꾼으로서 상당한 수익을 올릴 수 있을 것으로 예상된다.
 
제로데이 이니셔티브(Zero Day Initiative)
취약성 구매 프로그램인 제로데이 이니셔티브(Zero Day Initiative, ZDI)는 보안 전문가들에게 보안 문제점을 파악한 것에 대해 거액의 포상금을 제공함으로써 모두에게 더 안전한 인터넷이 실현되기를 바라고 있다. ZDI는 버그에 대해 포상금을 제공하고 해당 취약성을 업체에 무료로 제공한다.
 


2011.08.18

“버그 포상금 제도의 부상” 해커에게 돈을 주는 것이 안전한 이유

Alex Wawro | PCWorld
자신의 집에 침입하는 도둑에게 돈을 줄 수 있는가? 대부분의 현명한 사람은 아니라고 답할 것이다. 하지만 점점 더 많은 현명한 기업들이 "그렇다"라고 대답하고 있다. 구글같은 기업들은 자사의 소프트웨어에 침입할 수 있는 구멍을 찾는 해커들에게 상당한 포상을 제공하고 있다.
 
이런 기업들은 종종 버그 하나를 발견하면 수천 달러를 지급하기 때문에 버그 사냥은 상당한 수익으로 이어진다. 그리고 이것과는 차원이 다르지만 마이크로소프트는 자사의 블루햇 프라이즈(BlueHat Prize) 대회에서 윈도우 애플리케이션을 해킹으로부터 보호할 수 있는 최고의 방법을 찾아낸 해커에게 20만 달러의 상금을 지급하기도 했다.
 
관련 기업들은 이런 포상금 프로그램이 자사의 제품을 더욱 안전하게 만든다고 말한다. 구글 웹 애플리케이션 사업부에서 취약점 포상금 프로그램(Vulnerability Reward Program)을 담당하고 있는 보안 프로그램 관리자 아담 메인이 "우리는 더 많은 버그 보고(Bug Report)를 받아 더 많은 버그를 수정함으로써 사용자들에게 더 나은 경험을 제공할 수 있게 된다"면서, "우리는 또한 이런 버그를 찾아내는 전문가들과도 긍정적인 관계를 형성하고 있다”라고 말했다.
 
하지만 이 프로그램은 많은 논란을 불러 일으키고 있다. 마이크로소프트같은 기업들은 포상금을 사람들이 취약점을 찾아내도록 유도하기 위해서가 아니라 악당을 잡기 위해서만 사용해야 한다고 믿는다. 또한 여기에는 더블딥(Double Dip) 문제가 있다. 해커들은 취약성을 찾아내 상금을 받아 내고는 악의가 있는 구매자들에게 이 정보를 팔 수 있는 가능성이 있는 것이다.
 
포상금 전쟁
매년 캔섹웨스트(CanSecWest) 보안 컨퍼런스 기간에 벌어지는 해킹 대회 Pwn2Own은 해커들에게 있어서 월드시리즈 포커대회(World Series of Poker)와도 같다.
 
Pwn2Own 로지스틱스(Pwn2Own Logistics)의 관리자 애런 포트노이는 "거금의 상금 때문에 주요 매스컴들의 관심이 쏟아지고 덕분에 소비자들의 보안 취약성에 대한 인식을 높일 수 있는 기회로 삼고 있다"라면서, "이 대회 때문에 애플이나 구글 같은 기업들은 자사 제품의 보안에 신경 써야 한다는 압박을 받는다"라고 말했다.
 
Pwn2Own에서 스마트폰이나 웹 브라우저 해킹에 성공한 사람은 1만 5,000달러의 상금과 해킹에 사용한 기기를 상품으로 받는다. 구글은 여기에 자사의 제품을 성공적으로 해킹한 보안 전문가에게 추가적으로 2만 달러의 상금을 제공하여 대회에 대한 관심을 증폭시키고 있다. 2007년의 1회 대회 때부터 지금까지 16만 달러 이상이 상금이 제공되었다.
 
하지만 이 정도는 구글이 자사의 제품에 건 포상금에 비하면 새 발의 피에 불과하다. 구글 취약성 포상금 프로그램이 시작된 작년 11월부터 지금까지 크로미움(Chromium, 구글 크롬(Chrome) 브라우저를 위한 오픈소스 기반)이나 구글 웹 애플리케이션의 보안 취약성을 보고한 버그 사냥꾼들에게 총 50만 달러의 상금이 제공되었다.
 
제공된 상금이 상당하지만 결과적으로 구글은 해커들이 침입에 악용하기 전까지는 발견하지 못했을 수백 개의 버그를 찾아내는데 성공했다. 구글은 포상금 덕분에 보안 전문가들이 취약성을 개인적인 목적을 위해 악용하는 대신에 개발자에게 알려주기 때문에 포상금이 그만한 가치가 있다고 생각한다.
 
구글은 이미 한 포상금 사냥꾼을 보안 연구원으로 고용했으며 앞으로 더 많은 보안 연구원을 고용할 것이다. 분명한 것은 거액의 포상금 덕분에 최고의 버그 사냥꾼들이 속속 등장하고 있으며, 이들은 버그를 찾아내는 것으로 생활비를 충당할 만큼 기술이 뛰어나다는 것이다. 예를 들어 크로미움 보안 명예의 전당(Chromium Security Hall of Fame)을 살펴보면 연구원 세르게이 글레이즈노프가 올해 버그 사냥으로 약 2만 달러의 수입을 올렸다는 걸 알 수 있을 것이다. 이 금액은 오직 구글에서만 받은 수입이다. 벤더들이나 티핑포인트(TippingPoint-최근 HP가 인수)같은 보안 연구그룹이 거액의 상금을 제공함에 따라 재능 있는 전문가들은 버그 포상금 사냥꾼으로서 상당한 수익을 올릴 수 있을 것으로 예상된다.
 
제로데이 이니셔티브(Zero Day Initiative)
취약성 구매 프로그램인 제로데이 이니셔티브(Zero Day Initiative, ZDI)는 보안 전문가들에게 보안 문제점을 파악한 것에 대해 거액의 포상금을 제공함으로써 모두에게 더 안전한 인터넷이 실현되기를 바라고 있다. ZDI는 버그에 대해 포상금을 제공하고 해당 취약성을 업체에 무료로 제공한다.
 


X