[보안정책] 버그바운티 관련 정리

안녕하세요.

오늘은 버그바운티에 대한 소개를 할까 하는데요.

여러 군데에서의 자료를 취합하여 정리한 자료로 다소 지저분하거나 보충 설명이 필요한 부분이 있을 수 있습니다. 확인해 보시고 많은 조언 부탁드리겟습니다. 

1. 버그바운티(Bug Bounty) 소개

버그바운티란 Bug(버그, 에러, 취약점) + Bounty(현상금)의 합성어로 웹 서비스나 소프트웨어의 취약점을 찾아주는 화이트 해커들에 대해 보상을 하는 제도입니다.

버그바운티를 하는 화이트 해커를 Bug Hunter 라고 부르고 있으며 그중에서도 전업으로 버그바운티를 하는 능력있는 화이트 해커를 Super Hunter라고 부르기도 합니다.

버그바운티는 넷스케이스 사의 직원의 건의로 1996년 처음 시행이 됬으며 당시 모자이크/ 넷스케이프/ 모질라 브라우져 등에 대한 버그바운티 정책을 사용하였습니다. 

제공하고 있는 서비스에 대한 보안 취약점을 공개적으로 수집하는 부분에 있어서 서비스에 취약점이 있다고 공개하는 것과 다를바가 없다는 논란이 있기도 했지만 제공받은 취약점 보고서와 그에 따른 발빠른 보안 패치로 효율적인 보안정책중 하나로 자리잡게 되었습니다.

2. 버그바운티(Bug Bounty)의 장,단점

버그바운티 정책의 장단점을 해당 정책을 제공하는 기업의 입장과 보안전문가의 입장에서 각각 살펴볼수 있습니다.

기업의 입장에서 버그바운티의 장점은 보안 사고가 일어나기전 사전에 버그바운티 정책을 통해 취약점을 파악하여 보안사고를 미연에 방지할 수 있다는 점, 기업에서 제공하고 있는 서비스에 대한 자부심과 함께 발생할 수 있는 취약점들에 대해서 즉각적으로 보완조치하여 고객들에게 해당 서비스에 대한 신뢰를 줄 수 있습니다. 또한 중소기업의 경우 보안컨설팅을 진행하는 비용이 많이 들어 보안에 대한 조치를 하기 어려운 부분이 있는데 버그바운티의 경우 보안컨설팅에 비해 적은 비용으로 취약점에 대한 확인 및 조치할 수 있다는 장점이 있습니다. 

다만 해당 서비스에 취약점이 있음을 공개하는 것에 대해 기업 이미지가 나빠질 수도 있다는 단점이 있습니다. 특히 현재 국내 기업들이 취약점이 생기면 최대한 숨기고 사건사고도 축소시키는 데 급급하기 때문에 버그바운티같은 취약점에 대한 오픈마인드?적인 정책에 대한 반감을 가지고 있습니다.

보안전문가의 입장에서 버그바운티는 기업에 취직하지 않아도 프로젝트에 참여하지 않아도 얻을 수 있는 부과적인 수익창출 방법입니다. 

특히 해외 버그바운티 현상금은 나날이 증가하고 있는 추세이며 버그바운티 정책을 사용하는 분야도 IT뿐만이 아닌 금융, 교육 등으로 확산되고 있기 때문에 핫한 수익구조로 볼 수 있습니다.

물론 보안전문가 입장에서의 단점도 존재합니다. 버그바운티는 제공하고 있는 서비스들에 대한 취약점을 찾는 정책이기 때문에 진입장벽이 높은 편입니다. 2013년도 페이스북 기준 버그 리포트수는 14,763건 인데 반해 포상금 지급은 687건 그리고 보상금 지급 받은 화이트 해커는 330명이라는 통계로 보아 모든 화이트 해커들에게 균일하게 제공되는 보상이라고 하긴 어렵습니다. 

또한 버그바운티도 정책 Rule을 통해 위법적인 사항에 대한 안내는 하고 있지만 서비스에 대한 해킹으로 의도하건 의도하지 않건 위법 행위를 하여 포상금을 지급받는게 아닌 해커 본인에게 현상금이 걸릴 수도 있음을 알고 있어야 합니다.

3. 버그바운티 사례

-1. 페이스북

페이스북은 버그바운티를 마케팅 적으로 잘 이용하고 있는 기업중에 하나입니다. 보안 취약점에 대한 공개과 보안패치를 즉각적으로 하는것만 봐도 페이스북이 버그바운티 정책에 얼마나 관심이 깊은지 알 수 있습니다.

페이스북은 2011년도 부터 매해 버그바운티 정책을 시행하고 있으며 최저 보안금은 $500 최고 보상금은 정해놓지 않았습니다. 다만 별도로 포상금 지급액수 기준을 마련하려 제공하고 있습니다.

2015년 언론에 공개 된 버그바운티 사례로 다른 사람의 사진첩을 삭제할 수 있는 취약점에 대한 버그리포트로 만2천불 

2016년에는 인스타그램을 통한 계정 탈취 취약점에 대한 버그리포트로 5천불을 받은 사례 가 있습니다. 

또한 페이스북은 버그바운티 포상금을 받은 화이트 해커중 일부에게 화이트해커 신용카드를 제공함으로서 화이트 해커들과의 관계를 우호적으로 만드는 정책을 펴기도 했습니다.

 

[페이스북에서 화이트 해커에게 지급한 WHITE HAT 비자 카드]

- 2. 구글

구글은 버그바운티 정책을 구글 리워드 프로그램이라는 이름으로 2010년 부터 시행하고 있습니다. 최소 포상금은 100달러에서 2만 달러로 공식적으로 책정하고 있으나 분기, 반기 마다 주력 상품에 대한 버그바운티 포상금 정책을 강화하여 진행하기도 합니다. 2015년 10월 즈음엔 클라우드 관련 최고 포상금을 5만 달러로 상향 했고 2016년 2월에는 크롬북 관련 최고포상금을 10만 달러로 2016년 6월에는 안드로이드 관련 최고 포상금을 3만 달러로 상향 조치 하였습니다. 

구글은 앱, 웹, 클라우드 등 여러가지 서비스에 대한 버그바운티 정책을 폭 넓게 시행하고 있으며 선행 보상 버그바운티라는 변형된 버그바운티 정책, 버그바운티로 포상을 받은 화이트 해커들에게 구글 인턴쉽의 기회 등을 제공하고 있습니다.

-3. KISA

이번엔 국내 사례입니다. KISA에서는 보안 취약점 신고 포상제라는 이름으로 정부지원 사업을 2012년도 부터 진행하고 있습니다. KISA에서 운영하는 버그바운티는 KISA서비스에 대한 버그바운티가 아닌 국내 여러 기업들에 대한 버그리포트를 접수하고 정부 지원금으로 포상금을 지급하고 접수된 버그리포트에 대한 조치권고를 해당 기업에게 보내는 방식으로 버그바운티 정책을 시행하고 있습니다.

포상금의 금액은 최소 30만원~500만원으로 해외 기업들에 비해 다소 적은편이라 국내의 이름있는 화이트 해커들도 국내 서비스 대상의 버그바운티 보다는 해외 서비스들에 대한 버그바운티를 더 선호하고 있습니다.

4. 버그바운티(Bug Bounty) 시장의 전망

뉴스위크에서 사이버보안 산업 시장 규모가 750억 달러 이상이라고 보도 했습니다. 이처럼 사이버 보안 산업 규모가 큰 편이며 미래 성장 산업으로도 주목받고 있습니다. 

버그 클라우드에서도 2014년도 버그바운티 평균 포상금 $200에서 2016년도 1분기 평균 포상금 $505로 시장이 점점더 커져가고 있습니다. 이처럼 버그바운티는 보안전문가들에게 새로운 시장이 되었고 이를 잘 파악하여 실력 향상과 소득 두마리 토끼를 잡는 보안인이 되었으면 합니다.

참고자료 출처 : http://www.visualdive.com/2014/05/%ED%8E%98%EC%9D%B4%EC%8A%A4%EB%B6%81-%EB%B2%84%EA%B7%B8-%EB%B0%9C%EA%B2%AC-%ED%8F%AC%EC%83%81%EA%B8%88-%EC%B4%9D-2%EC%96%B5-7%EC%B2%9C%EB%A7%8C%EC%9B%90-%EC%A7%80%EA%B8%89-%EC%9D%B8%ED%8F%AC/ - 페이스북 버그바운티 인포그래픽

http://community.snu.ac.kr/bbs/bbs.message.view.screen?bbs_id=127&message_id=133471&search_field=title&search_word=&classified_value=

http://dailysecu.com/news_view.php?article_id=13480

http://blog.alyac.co.kr/253

페이스북 버그바운티 사례

http://www.boannews.com/media/view.asp?idx=50877

버그바운티 전망