보안정보

전문화된 보안 관련 자료, 보안 트렌드를 엿볼 수 있는
차세대 통합보안관리 기업 이글루코퍼레이션 보안정보입니다.

국내 버그 바운티(Bug Bounty) 어디까지 와있나?

2019.02.13

13,238


 

 

 

1. 개요

 

2018년 11월 KISA는 'Hack the KISA'라는 버그 바운티(Bug Bounty) 프로그램을 개최하였다. KISA에서 실제 운영하는 5개의 웹 사이트를 대상으로 진행한 결과, 163건이 제보되었으며 이 중 유효한 보안 취약점 60건을 선정하여 28명에게 총상금 2,555만 원을 포상하였다. KISA 측은 미국 국방부의 'Hack the Pentagon'을 참고하였고 국내 기업들의 버그 바운티 참조 모델을 만들어 국내 버그 바운티 프로그램을 활성화하는 데 목적이 있다고 밝혔다.

 

이와 같은 국내 버그 바운티 활성화를 위한 움직임은 긍정적이지만 KISA의 노력에도 불구하고 국내 기업의 버그 바운티 참여도는 낮은 편이다. 이미 구글, 애플, 마이크로소프트, 페이스북, 넷플릭스 등 해외의 유명 기업들이 버그 바운티 프로그램을 적극적으로 활용하고 있는 데에 반해 국내 기업들의 자발적인 참여는 저조한 편이고 KISA의 활동으로 겨우 유지되고 있다. 갈수록 확장되고 있는 해외 버그 바운티 프로그램과 국내 버그 바운티 프로그램이 무엇이 다르며 지금 왜 버그 바운티를 주목해야 하는지 알아보자.

 

 

 

[그림 1] Hack the KISA 안내 포스터

 

 

2. 해외 버그 바운티(Bug Bounty)

 

1995년 넷스케이프가 역사상 처음 버그 바운티 프로그램을 시작한 이래로 흐지부지하게 진행되던 버그 바운티는 2010년 구글의 참여를 시작으로 급격한 변화를 맞이하게 된다. 뒤이어 마이크로소프트, 페이스북 등 글로벌 기업들의 참여가 늘면서 버그 바운티 프로그램과 포상의 규모가 커지게 되었다. 구글은 2018년 상반기까지 1200만 달러(135억 원)를 취약점 신고 포상금으로 지급하였고, 페이스북의 경우 2018년에만 110만 달러(12억 원)를 지급하면서 현재까지 버그 바운티를 통해 총 750만 달러(83억 원)를 포상하였다. 또한, 버그 바운티 대행업체인 해커원은 2018년 한해에 3천만 달러(335억 원)를 포상하였다고 밝혔다.

이처럼 글로벌 기업들의 포상금 규모가 커지면서 기업뿐만 아니라 전 세계적으로 버그 바운티 참여도가 높아지고 있다. 특히, 유럽연합(EU)은 2019년부터 2020년까지 15가지의 오픈소스에 대해 85만 유로(11억 원)의 예산을 투입하기로 결정하였는데, 이는 단순히 일반 기업의 서비스가 아닌 오픈소스 소프트웨어를 대상으로 버그 바운티를 진행한다는 점에서 버그 바운티의 규모가 확장된다는 것을 알 수 있다.

 

 

 

[그림 2] FOSSA BUG BOUNTIES – 출처 : 유럽의회 줄리아 레다 의원 블로그

 

 

버그 바운티 포상 규모가 커지는 만큼 프로그램도 다양하게 운영되고 있다. 이를테면 하나의 버그 바운티로 프로그램을 운영하기보다 제품과 서비스별로 프로그램을 나누거나 확장하는 방식이다. 예를 들어 구글은 Vulnerability Reward Program(VRP), Patch Rewards, AutoFuzz Patch Rewards, Research Grants, Chrome Rewards, Android Rewards, Google Play Rewards 등 총 7개의 버그 바운티 프로그램을 운영하고 있다. 이처럼 구글이 패치, 크롬, 안드로이드, 앱 등 서비스별로 버그 바운티를 나누어 운영하는 방식은 기존에 버그 바운티를 참여하고 있는 업체나 참여를 고민하는 업체에 이상적인 모델이 될 수 있다. 각각의 서비스 별로 허용 범위와 포상 규모 등을 차별화하기 때문에 기업에서는 서비스 별로 취약점을 관리할 수 있으며 화이트햇 해커는 자신이 관심을 가지는 분야에 맞추어 프로그램에 참여하게 되므로 버그 바운티의 효과가 충분히 발휘될 수 있다.

 

 

 

[그림 3] Google Application Security – Google VRP

 

 

페이스북의 경우 18년도부터 화제가 되었던 크로스 플랫폼의 데이터 남용과 서드파티 앱 및 웹에 대한 위협을 버그 바운티 프로그램에 포함하여 확장해갔다. 그 결과 작년에만 17,800건의 리포트를 받았고 700건이 넘는 주요 리포트를 발행하였다. 비록 버그 바운티 프로그램을 확장한다는 발표를 하고 한 달 만에 전 세계 5천만 개 계정의 액세스 토큰(개인정보에 접근할 수 있는 토큰)이 유출되는 해킹사고가 발생하였지만 지속해서 보안에 관심을 두고 버그 바운티에 투자한다는 것에서는 그 노력이 저평가될 수 없다고 생각된다.

 

이외 자체 버그 바운티 프로그램을 운영하기 부족하다는 판단을 내린 기업들은 버그 바운티 운영 대행사를 통해 버그 바운티에 참여하고 있다. 대표적인 버그 바운티 대행업체로는 HackerOne, BugCrowd, Synack, SafeHats, Intigriti 등이 있는데 이들은 일반 기업의 소프트웨어뿐만 아니라 오픈소스, 블록체인 등 분야를 가리지 않고 버그 바운티를 운영 중이다. HackerOne 리포트에 따르면 글로벌 자동차 기업인 General Motors는 2016년부터 버그 바운티 프로그램에 참여하여 단 2년 만에 500명 이상 해커의 도움을 받아 700가지 이상의 취약점을 해결하였고 전자 상거래 업체인 Shopify는 버그 바운티 프로그램에 참여한 지 3년 만에 759개의 취약점을 해결하였다고 밝혔다. 특히 Shopify는 HackerOne에서 취약점 제보에 가장 응답이 빠른 기업으로 유명해졌으며 버그 바운티에 참여하는 해커들에게 흥미와 수익성을 보장하여 자신들의 서비스에 대해 안전성을 높이고 있다.

 

 

3. 국내 버그 바운티

 

국내 버그 바운티는 2006년 KISA에서 시작되었으며 국내에 존재하는 모든 버그 바운티를 KISA에서 담당하였다. 이후 기업이 직접 참여하는 버그 바운티의 필요성이 대두되면서 공동운영사들이 합류하였고 2012년부터 현재의 버그 바운티 프로그램이 갖춰지게 되었다. 2018년 3분기에는 블록체인과 관련된 업체(엑스블록시스템즈, 블록체인오에스, 글로스퍼)들이 공동운영사로 참여하면서 국내 버그 바운티의 분야가 다양해졌고 신규 IT산업들이 버그 바운티에 주목할 수 있는 계기를 마련하였다. 현재 공동운영사로는 한글과컴퓨터, 네이버, 카카오, 카카오뱅크, 네오위즈게임즈, 이스트시큐리티, 이니텍, 잉카인터넷, LG전자, 지니언스, 안랩, 하우리, 엑스블록시스템즈, 블록체인오에스, 글로스퍼 등 총 15개의 기업이 참여하여 정보보호 분야 발전을 위해 노력하고 있다.

 

 

 

[그림 4] 취약점 신고 포상제 공동운영사 – 출처: KISA

 

 

KISA에 따르면 버그 바운티를 통해 2018년 한 해 동안 1,108건의 취약점을 신고 받았고, 총 581건에 대해 포상(총액 3억 1,200만 원)이 이루어졌다고 한다. 이에 따라 2012년 공식적으로 국내 버그 바운티에 대한 포상이 시작되면서 현재까지 총 3,411건의 취약점 신고를 받았으며 이 중 1,711건에 대해 14억 원(137,270만 원) 규모에 포상이 지급되었다.

 

 

구분

‘12

‘13

‘14

‘15

‘16

‘17

‘18

합계

신고건수

23

179

274

321

696

810

1,108

3,411

포상건수

14

89

177

215

382

411

581

1869

KISA 포상금액

1,970만원

10,685만원

15,290만원

18,470만원

25,065만원

19,360만원

25,420만원

116,260만원

공동운영사
 포상금액

-

-

1,140만원

3,440만원

4,820만원

5,830만원

5,825만원

21,055만원

전체 포상금액

1,970만원

10,685만원

16,430만원

21,910만원

29,885만원

25,190만원

31,245만원

137,315만원

 

[표 1] S/W 신규 보안 취약점 신고포상제 운영현황 – 출처: KISA

 

 

위와 같이 버그 바운티에 참여하는 기업이 늘면서 자연스럽게 취약점 신고 건수와 포상 건수가 증가하여 보안을 강화하려는 공동운영사들의 만족도가 높아지고 있다. 대표적으로 한글과컴퓨터는 버그 바운티를 통한 지속적인 취약점 발굴 및 보완으로 신규 제품의 보안성이 강화되었다고 밝혔으며 대외 이미지가 향상되어 고객의 인식이 변화하는 데 큰 역할을 하였다고 평가하고 있다. 이처럼 공동운영사로 참가하는 기업은 버그 바운티 참여를 고민하는 업체들에 긍정적인 영향을 펼칠 것으로 보인다.

 

이외 자체 버그 바운티 프로그램을 운영하는 국내 기업으로는 네이버, 삼성전자가 있다. 네이버의 경우 'Whale Security Bug Bounty Program'이라는 버그 바운티 프로그램을 자체적으로 운영하고 있으며 국내에서 유일하게 서비스 영역의 취약점도 받아들이고 있다. 또한, 라인(네이버 일본계열사)도 자체 버그 바운티 프로그램을 운영하고 그 결과를 반기별로 리포트하고 있다. 즉, 버그 바운티 프로그램 홈페이지를 직접 운영하면서 신고 과정과 처리 결과를 지속해서 노출하여 보안 서비스를 높이는 것뿐만 아니라 고객의 신뢰까지 얻고 있다.

 

 

 

2015

(프로그램 실시)

2016

(상시 운영 개시)

2017

(프로그램 대상 확대)

2018

(보상금 테이블 갱신)

실시 기간

8/24 ~ 9/23

6/2 ~ 12/31

1/1 ~ 12/31

1/1 ~ 6/30

접수 건수

194

(일본 :89,

한국포함 타국가 : 105)

97

(일본 :15,

한국포함 타국가 : 82)

212

(일본 :11,

한국포함 타국가 : 201)

148

(일본 :35,

한국포함 타국가 : 113)

보상금 대상의

취약점 수

14

13

45

33

Hall of fame

8

3

11

9

Special

contributors

9

8

21

11

발생한 보상금

USD 44,000

USD 27,000

USD 76,500

USD 48,000

 

[표 2] 18년 상반기까지의 버그바운티 통계 – 출처: LINE Engineering

 

 

4. 국내 버그 바운티의 문제점과 발전방안

 

국내 버그 바운티 공동운영사는 갈수록 늘어나고 있지만, 자체 버그 바운티를 운영하는 기업은 주춤하고 있다. 이는 버그 바운티에 대한 인식이 없거나 비용과 운영에 대한 부담이 있기 때문이다. 포상의 규모도 해외보다 현저히 적은 편이다. 국내 버그 바운티 관련 예산은 2017년에 이어 2018년에도 2억6000만 원이었고 포상금 규모도 최대 1000만 원 이하로 외국 기업보다 현저히 낮았다. 만약 블랙마켓을 통한 취약점거래가 포상금보다 크다면 블랙마켓을 통해 취약점 거래가 발생할 수도 있다. 따라서 버그 바운티가 블랙마켓에서 거래되고 악용되는 것을 방지하기 위해 국가와 기업의 적극적인 투자가 필요하다.

 

포상금 지급 방식도 고민해볼 문제이다. 기업이 공동운영사로 참가하여 비용을 일부 지원한다고 하더라도 정부의 예산으로 포상하는 경우가 대다수이다. 즉 기업들의 제품과 서비스를 정부의 예산으로 포상함으로써 기업이 부담해야 할 비용을 국가와 국민이 지고 있는 셈이다. 이는 정부가 인식 변화에 앞장서야 하는 이유 중 하나로 지속해서 자체 버그 바운티를 독려하여 기업 스스로가 책임지고 보안서비스를 강화하게 만들어야 한다. 필요하면 법적인 부분으로 제재를 하거나 버그 바운티를 활성화하는 기업에 정보보호 활동에 대해 적절한 보상을 하는 방식으로 개선해 나갈 필요가 있다.

 

버그 바운티의 범위도 해외와 다르게 소프트웨어에 한정적이다. 기업들의 주 서비스가 웹 서비스다 보니 실제 운영 중인 웹 서비스에 대해 버그 바운티를 하는 행위를 극도로 꺼린다. 충분히 보안장치가 마련되어 있는데도 불구하고 버그 바운티에서 제외하다 보니 보안 점검 대상에서 가장 중요한 웹 서비스를 놓치고 있다. 웹 서비스는 이미 일반적인 PC 환경뿐만 아니라 모바일, IoT 장비 등 곳곳에서 사용되고 있는데 이를 놓친다는 것은 보안의 일정 부분 포기한다는 것과 같다. 국내에서 심각한 해킹 사고들은 커뮤니티 사이트에서 생기는 웹 취약점을 일차적으로 이용하여 발생하였다. 따라서 이를 보완하기 위해서는 반드시 버그 바운티 프로그램에 웹 서비스를 포함해야 할 필요가 있다.

 

위와 같은 문제를 바탕으로 현시점에서

국내 버그 바운티 프로그램 활성화를 위해 기업들은 다음과 같은 발전 방향을 도모해야 한다.

 

첫째, 기업은 해외 버그 바운티 사례를 참고하여 버그 바운티 프로그램에 참여하고 가능하면 자체적으로 운영한다. 

해외 버그 바운티 운영의 모범사례로 꼽히는 구글을 참고하여 제품과 서비스 별로 버그 바운티 프로그램을 차별화하며, 페이스북과 같이 신규 이슈에 대해 버그 바운티 범위를 확장해나가면서 운영하는 것이다. 자체 운영이 어렵다면 버그 바운티 대행업체를 통해 버그 바운티 운영을 시작해도 좋다.

 

둘째, 포상의 규모를 넓힌다.

포상의 규모를 넓히는 이유는 비용이 들어가지 않을 경우 기업의 책임이 상대적으로 떨어지기 때문이다. 또한, 수준 높은 취약점 제보에 대한 적절한 보상이 이루어지지 않는다면 선의의 마음으로 참여한 해커들이 제보를 거부하고 금전을 목적으로 블랙마켓에 접근할 수도 있다. 따라서 포상 규모를 넓혀 블랙마켓을 통한 취약점 유출을 방지하고 기업의 책임감을 동시에 불어 넣어야 한다.

 

셋째, 운영 중인 서비스를 버그 바운티에 포함한다.

국내 정보통신망 법상 실제 서비스 중인 웹사이트나 시스템에 특정 데이터를 전송하여 영향을 줄 우려가 있는 서비스 취약점은 평가 및 포상 대상에서 제외됨은 물론, 법에 따라 처벌받을 수 있다고 나와 있다.(정보통신망 이용촉진 및 정보보호에 관한 법률 제71조 제10호 및 제48조 제3항) 이 부분은 정보통신망법의 적절한 해석과 완화가 이루어져야 하지만 실제 운영 중인 서비스를 점검하지 못한다면 버그 바운티의 효과를 보지 못할 수가 있다. 모든 기업은 실제 운영 중인 서비스에 대해 보안장치가 설치되어 있으므로 버그 바운티 참여에 대해 특별히 고민할 필요가 없이 적절한 제한이 있는 버그 바운티 룰(Rule)과 기한을 설정하여 운영을 시작하면 된다.

 

넷째, 버그 바운티와 모의해킹의 공존 관계를 고민한다.

버그 바운티 프로그램으로만 보안에 투자해야 할까? 버그 바운티는 외부에 공개된 특정 제품과 서비스를 대상으로 진행된다. 또한, 실제 운영 중인 서비스를 대상으로는 국내기준으로 버그 바운티를 할 수 없다. 따라서 허용된 내·외부 시스템에 대해 아무런 제한 없이 진행하는 모의해킹과는 다르게 봐야 한다. 즉, 모의해킹 관점으로 보는 시점과 버그 바운티의 시점은 다르다. 따라서 버그 바운티와 모의해킹 컨설팅에 대해 적절한 균형을 맞춰가며 보안의 수준을 높일 필요가 있다.

 

다섯째, 버그 바운티 플랫폼과 자체 버그 바운티를 운영하기 어렵다면 내부 버그 바운티 도입을 고려한다.

가령 회사 내 보안업무를 담당하고 있는 보안담당자들에게 회사에서 서비스 중이거나 사용 중인 제품, 개발 중인 제품을 대상으로 버그 바운티를 실시하는 것이다. 꼭 보안담당자가 아니라도 좋다. 기업은 자체적으로 내부서비스 및 외부 서비스에 대한 보안을 강화하는 계기가 될 것이며 사내 직원들에게는 취약점 제보에 따른 명예와 포상을 받을 수 있으므로 서로 도움이 될 수 있다.

 

 

5. 결론

 

국내 버그 바운티는 시간이 지날수록 발전하고 있지만, 해외에 비하면 포상의 규모와 참여하는 기업이 적은 편이다. KISA의 노력으로 다양한 업체들이 버그 바운티 참여하고 있으나, 그것만으로는 부족해 보인다. 결국 비용 문제로 직결되는데 정부와 기업의 투자가 늘지 않으면 해결될 수 없는 문제이다. 또한, 그 동안 기업에서 수립된 정보보호관리체계에서만 바라보는 게 아니라 외부에서 바라보는 관점이 필요하다. 즉, 정보보호 활동이 내부적으로 수립된 체계 속에서만 이루어진다고 생각해서는 안 되며 관리체계 속에서 놓치는 부분들을 버그 바운티라는 프로그램으로 보완한다는 생각으로 발전시켜 나가야 한다.

 

 

6. 참고자료

 

[1] The Hacker-Powered Security Report 2018, https://www.hackerone.com/resources/hacker-powered-security-report

[2] S/W 신규 취약점 신고포상제 운영 안내서, https://www.krcert.or.kr 

[3] In January, the EU starts running Bug Bounties on Free and Open Source Software, https://juliareda.eu/2018/12/eu-fossa-bug-bounties/

[4] A Look Back at our Bug Bounty Program in 2018, https://www.facebook.com/notes/facebook-bug-bounty/a-look-back-at-our-bug-bounty-program-in-2018/2373713379309541/

[5] Hack the KISA! 최고 포상액 400만원, ‘의외성’이 주목받다, https://www.boannews.com/media/view.asp?idx=75639

[6] "보안취약점 신고포상제, SW→서비스로 확대돼야“, http://m.zdnet.co.kr/news_view.asp?artice_id=20180905152002#imadnews

[7] 2018년 상반기 LINE Security Bug Bounty Program 결과, https://engineering.linecorp.com/ko/blog/line-security-bug-bounty-program-report-2018-first-half/