2015.08.11

버그 바운티 프로그램, 마침내 주류가 되는가?

Kacy Zurkus | CIO
기업들은 취약점을 탐지하기 위해 버그 바운티 프로그램(bug bounty programs)을 사용하는 것에 대해 한때 머뭇거린 바 있다. 이에 연구원들은 버그바운티 제도가 효과적이고 보안 위험을 낮추기 위한 신뢰할 수 있는 협력자임을 증명하고 나섰다.

버그크라우드(Bugcrowd)의 창립 기념 '버그 바운티 현황 보고서(State of Bug Bounty Report)'는 버그 바운티들의 시장이 급성장하고 있다고 밝혔다.

이 보고서를 요약하면, 사이버보안이 보안 전문가들의 기량에 의존하는 경향이 많아지는 상황에서 전세계에 있는 전통적인 해커들을 위한 플랫폼이 구축되고 있다는 것이다.

보안 연구원 집단과 함께 취약점 플랫폼을 결합한 사이버보안 업체인 버그크라우드는 2년 6개월 간에 걸쳐 연구를 진행했다.

이 연구원들은 166개 프로그램에서 총 729개의 높은 순위의 취약점을 발견했는데, 이 취약점 가운데 175개는 숙달된 애플리케이션 보안 엔지니어에 의해 크리티컬한 것으로 판명받았다고 말했다.

남아프리카, 인도, 필리핀 등에 거주하는 연구원들은 취약점을 발견하는 그들의 일에 대해 상당한 보상을 받고 있다. 이를 통해 기업들은 배포 전에 취약점을 탐지해 네트워크에서 잠입하는 공격자들을 막음으로써 수십만 달러를 절감한다.

버그크라우드의 기술운영 책임자인 제이슨 해딕스에 따르면, 진화하는 사이버위협으로 인해 기업들은 많은 계층에서 보안을 고려하는 것이 필요하다. 버그 바운티는 이런 위협들에 대응할 수 있는 하나의 방법이며, 기업들이 자체적으로 버그 바운티 프로그램을 운영하는 사례가 증가하고 있다.

버그 바운티 제도의 고질적인 문제는 많은 기업이 이 프로세스를 믿지 못한다는 점이다. 결국 이 프로그램은 해커들에 의존할 수 밖에 없는데, 그들이 옳건 그르건 범죄 의도를 갖는 것을 종종 볼 수 있기 때문이다.

버그크라우드는 다른 버그 바운티 제공업체와 달리 신뢰도가 떨어지는 것으로 판단되는 해커들을 걸러내는 기능을 함으로써 차별점을 가져가고 있다. 이를 통해 전용 버그 바운티 프로그램을 만들 수 있으며 이는 보수적인 기업들에게도 매력적인 제안이 될 것이다.

버그크라우드는 공식 성명에 앞서 "2014년에는 크라우드소싱과 정규 버그 바운티 프로그램에 대한 전례없는 참여가 있었다. 2015년에는 분명 이 수치를 능가할 것이다"고 말했다.

버그 바운티 프로그램을 도입하는 기업들의 숫자가 증가한다는 점은 기업들이 이 프로그램의 가치를 알게 됐다는 것을 보여준다.

또한 버그크라우드의 보고서는 웨스턴유니언(Western Union), 테슬라 모터스(Tesla Motors), 유나이티드 항공(United Airlines) 등 크고 다양한 기업들이 모두 버그 바운티 프로그램들을 시작했다고 전했다.

2014년에 버그 바운티 프로그램을 시작한 웨스턴 유니언은 50달러에서 5,000달러 상금을 수여하며, 올해 초부터 시작한 테슬라 모터스의 프로그램은 25달러에서 1,500달러의 상금을 제공한다.

또한 올해 초 이 프로그램을 시작한 유나이티드 항공은 최근 "우리가 항공산업에서 최초로 버그 바운티 프로그램을 시작한 이유는 고객들의 프라이버시와 그들로부터 받은 개인 정보를 지키기 위함"이라고 밝혔다.

한국에서도 한국인터넷진흥원(KISA), 삼성전자, 한글과컴퓨터 등에서 버그 바운티 제도를 운영하고 있으나 자사의 실수나 문제점이 밝혀진다는 것에 대한 두려움과 버그에 대한 소극적인 대처, 포상금 지급 한계 등으로 인해 확산되지 못하고 있는 실정이다(편집자 주). editor@itworld.co.kr


2015.08.11

버그 바운티 프로그램, 마침내 주류가 되는가?

Kacy Zurkus | CIO
기업들은 취약점을 탐지하기 위해 버그 바운티 프로그램(bug bounty programs)을 사용하는 것에 대해 한때 머뭇거린 바 있다. 이에 연구원들은 버그바운티 제도가 효과적이고 보안 위험을 낮추기 위한 신뢰할 수 있는 협력자임을 증명하고 나섰다.

버그크라우드(Bugcrowd)의 창립 기념 '버그 바운티 현황 보고서(State of Bug Bounty Report)'는 버그 바운티들의 시장이 급성장하고 있다고 밝혔다.

이 보고서를 요약하면, 사이버보안이 보안 전문가들의 기량에 의존하는 경향이 많아지는 상황에서 전세계에 있는 전통적인 해커들을 위한 플랫폼이 구축되고 있다는 것이다.

보안 연구원 집단과 함께 취약점 플랫폼을 결합한 사이버보안 업체인 버그크라우드는 2년 6개월 간에 걸쳐 연구를 진행했다.

이 연구원들은 166개 프로그램에서 총 729개의 높은 순위의 취약점을 발견했는데, 이 취약점 가운데 175개는 숙달된 애플리케이션 보안 엔지니어에 의해 크리티컬한 것으로 판명받았다고 말했다.

남아프리카, 인도, 필리핀 등에 거주하는 연구원들은 취약점을 발견하는 그들의 일에 대해 상당한 보상을 받고 있다. 이를 통해 기업들은 배포 전에 취약점을 탐지해 네트워크에서 잠입하는 공격자들을 막음으로써 수십만 달러를 절감한다.

버그크라우드의 기술운영 책임자인 제이슨 해딕스에 따르면, 진화하는 사이버위협으로 인해 기업들은 많은 계층에서 보안을 고려하는 것이 필요하다. 버그 바운티는 이런 위협들에 대응할 수 있는 하나의 방법이며, 기업들이 자체적으로 버그 바운티 프로그램을 운영하는 사례가 증가하고 있다.

버그 바운티 제도의 고질적인 문제는 많은 기업이 이 프로세스를 믿지 못한다는 점이다. 결국 이 프로그램은 해커들에 의존할 수 밖에 없는데, 그들이 옳건 그르건 범죄 의도를 갖는 것을 종종 볼 수 있기 때문이다.

버그크라우드는 다른 버그 바운티 제공업체와 달리 신뢰도가 떨어지는 것으로 판단되는 해커들을 걸러내는 기능을 함으로써 차별점을 가져가고 있다. 이를 통해 전용 버그 바운티 프로그램을 만들 수 있으며 이는 보수적인 기업들에게도 매력적인 제안이 될 것이다.

버그크라우드는 공식 성명에 앞서 "2014년에는 크라우드소싱과 정규 버그 바운티 프로그램에 대한 전례없는 참여가 있었다. 2015년에는 분명 이 수치를 능가할 것이다"고 말했다.

버그 바운티 프로그램을 도입하는 기업들의 숫자가 증가한다는 점은 기업들이 이 프로그램의 가치를 알게 됐다는 것을 보여준다.

또한 버그크라우드의 보고서는 웨스턴유니언(Western Union), 테슬라 모터스(Tesla Motors), 유나이티드 항공(United Airlines) 등 크고 다양한 기업들이 모두 버그 바운티 프로그램들을 시작했다고 전했다.

2014년에 버그 바운티 프로그램을 시작한 웨스턴 유니언은 50달러에서 5,000달러 상금을 수여하며, 올해 초부터 시작한 테슬라 모터스의 프로그램은 25달러에서 1,500달러의 상금을 제공한다.

또한 올해 초 이 프로그램을 시작한 유나이티드 항공은 최근 "우리가 항공산업에서 최초로 버그 바운티 프로그램을 시작한 이유는 고객들의 프라이버시와 그들로부터 받은 개인 정보를 지키기 위함"이라고 밝혔다.

한국에서도 한국인터넷진흥원(KISA), 삼성전자, 한글과컴퓨터 등에서 버그 바운티 제도를 운영하고 있으나 자사의 실수나 문제점이 밝혀진다는 것에 대한 두려움과 버그에 대한 소극적인 대처, 포상금 지급 한계 등으로 인해 확산되지 못하고 있는 실정이다(편집자 주). editor@itworld.co.kr


X