보안뉴스 창간 17주년을 축하합니다!!

Home > 전체기사

[보안을 위한 보안: 버그바운티] 공격자 시선으로 취약점을 찾아라

입력 : 2024-04-09 15:51
페이스북 보내기 트위터 보내기 네이버 밴드 보내기 카카오 스토리 보내기 네이버 블로그 보내기
해킹 사고의 근본적 원인은 취약점, 모든 제품에는 취약점 존재
공공에서의 취약점 관리 미흡, “선제적 보안이 필요한 때”
공격자 관점의 선제적 보안 ‘버그바운티’ 활성화 필요


[보안뉴스 박은주 기자] 세상에 ‘완벽한 보안’은 없다. 모든 시스템에는 결함이 존재하기 마련이다. 다양한 보안 솔루션으로 공격에 대응하고 있지만, 대부분 공격이 벌어진 후에 ‘방어’하는 단계에 그치고 있다. 방어적 보안은 결국 수동적이라는 한계가 있다. 알려진 100개의 공격을 막아도 101번째 취약점으로 치명적 피해를 볼 수 있기 때문이다. 이에 따라 공격자 시선에서 취약점을 찾아내는 적극적 보안의 필요성이 대두된다.

[이미지=gettyimagesbank]


“해킹 사고의 근본적 원인은 취약점이다. 공격자 관점의 보안이 필요한 시기다.” 티오리의 버그바운티 플랫폼 패치데이(PatchDay) 팀 서민교 리드의 말이다. 공격자 관점의 선제적 보안방법 중 하나로 ‘버그바운티(Bug Bounty)’가 제시된다. 버그바운티란 보안 취약점 신고포상제로, 시스템이나 서버에서 공격자 시선에서 취약점을 찾아 수정해 결함을 보완하는 제도를 말한다.

▲티오리 패치데이 서민교 리드[사진=보안뉴스]


서 리드는 “외부자 관점에서 보안을 생각하고, 취약점을 보완하는 것이 버그바운티의 핵심 가치”라고 평가했다. 그는 “지키는 입장은 모든 자산을 보호해야 본전이고, 공격자는 하나만 뚫으면 성공이라 불리한 상황”이라며 “따라서 공격자 시선에서 취약점을 관리할 필요가 있다”고 밝혔다.

버그바운티 플랫폼 회사인 파인더갭의 김오중 대표는 “최근 서비스나 이용 환경을 빠르게 업데이트하고 개발하는 것이 트렌드로 자리 잡았고, 그 때문에 보안 취약점이 끊임없이 생겨난다”고 취약점 발생 배경을 설명했다. 그는 “보안 취약점을 관리해 사고를 예방하는 것이 무엇보다 중요하다"고 강조했다.

▲파인더갭 김오중 대표[사진=파인더갭]


한발 앞선 사이버 보안, 버그바운티
버그바운티는 취약점을 사전에 관리한다는 점에서 기존 보안보다 능동적이라는 특징을 지닌다. 이와 함께 △보안팀에 부담 없는 보안성 강화 △경제적인 취약점 관리 △광범위한 방어 메커니즘 등의 장점을 제공한다.

파인더갭 김오중 대표는 “기업의 보안팀은 임직원과 고객 개인정보, 여러 인증과 솔루션을 관리·운영하기에도 손이 부족한 경우가 많다”며 보안인력이 부족한 현재 기업 상황을 대변했다. 그는 “버그바운티는 취약점을 전문으로 다루는 화이트해커와 효율적으로 협업할 수 있는 방법”이라며 “취약점은 화이트해커에게 맡기고, 내부 인력을 더 전략적으로 활용할 수 있을 것”이라고 설명했다. 또한 의미 있는 취약점에 관해서만 비용을 지불하는 구조로 경제적인 보안 방법이라고 덧붙였다.

또한 티오리 서민교 리드는 버그바운티 장점 중 하나로 폭넓은 크라우드소싱을 꼽았다. 서 리드는 “버그바운티는 초보부터 경력자까지 모두 참여해 다양한 관점에서 서비스 분석 및 취약점 리뷰를 할 수 있다”고 설명했다. 취약점 관리 특성상 창의성이 요구되는데, 버그바운티는 일종의 ‘집단지성’을 발휘해 취약점을 찾아낼 수 있기 때문이다.

버그바운티가 보안성을 높이는 과정이지만, 기업 내부 데이터를 공개하는 것은 민감한 사항이다. 이에 회사 상황에 따라 공개·일부공개·비공개로 구분해 버그바운티를 진행할 수 있다. 더불어 버그바운티는 별도의 VPN을 통해 이뤄진다. 버그바운티 시도와 실제 위협을 구분하고, 만에 하나 발생하는 위협을 사전에 차단하고 행위를 기록하기 위함이다.

통상적으로 약 1년의 기간 동안 진행되며, 그동안 다수의 화이트해커가 취약점을 찾기 위해 시스템을 이 잡듯 뒤지게 된다. 상시적인 시스템 모니터링과 점검을 진행하는 효과를 볼 수 있다.

서 리드는 “막상 버그바운티를 진행해 보면, 기업이 지정하지도 그렇다고 제한하지도 않은 특정 범위가 발견되기도 한다”며 “내부 시스템 파악에 오류가 있었던 것”이라고 말했다. 이처럼 의뢰한 기업은 미처 확인하지 못했던 오류를 잡아내기도 한다.

버그바운티를 진행한 유수의 기업에서는 이미 여러 인증 방법과 보안 솔루션을 도입한 경우가 대다수다. 서 리드는 “인증과 보안 솔루션은 안전을 유지하기 위한 기본”이라며 “아무리 강력한 인증체계를 갖췄어도 해킹사고는 발생하기 마련”이라며, 다시 한번 취약점 관리의 중요성을 강조했다.

공격자 관점의 사이버 보안, 국가와 공공 분야 보안역량 강화에 도움 될 것
이처럼 취약점 관리가 보안성 유지에 있어 매우 중요한 역할을 한다고 봤을 때 일각에서는 사기업뿐만 아니라 공공기관을 대상으로 버그바운티 등의 적극적인 보안대책이 필요하다는 주장이 이어진다. 국민 다수의 개인정보와 국가안보와 관련된 중요한 정보를 다루는 만큼 취약점 관리가 필요하다는 이유에서다.

일례로 미국에서는 국방부나 정부기관이 앞장서 버그바운티 제도를 운용하고 있다. 우리나라에서는 사이버보안 펀드 조성과 사이버보안 10만 인재 양성, K-시큐리티 얼라이언스 등의 보안정책을 펼치며 보안 강화를 위해 지속적으로 노력하고 있지만, 적극적인 취약점 관리는 아직 부족한 상황이다.

파인더갭 김오중 대표는 “최근 보안에 대한 인식이 발전하긴 했지만, 경제적이라는 이유로 보안 강화보다 벌금 납부를 택하는 기업도 존재한다”며, “정부기관이 앞장서 버그바운티와 같은 선제적 보안을 시도 및 권고하고, 일정 부분 의무화하는 정책 마련도 필요하다”고 강조했다.

또한 티오리 서민교 리드는 “정부에서 보안 인재 양성을 육성하기 위해 노력하는 만큼, 성장한 해커들이 활동할 수 있는 공간을 마련해주는 것도 필요하다”며 “버그바운티는 화이트해커가 활동할 수 있는 풀(Pool)”이라고 설명했다.
[박은주 기자(boan5@boannews.com)]

<저작권자: 보안뉴스(www.boannews.com) 무단전재-재배포금지>

  •  
  • 0
  • 페이스북 보내기 트위터 보내기 네이버 밴드 보내기 카카오 스토리 보내기 네이버 블로그 보내기

  •  SNS에서도 보안뉴스를 받아보세요!! 
 하이젠 파워비즈 23년 11월 16일~2024년 11월 15일까지 아스트론시큐리티 파워비즈 2023년2월23일 시작 위즈디엔에스 2018 넷앤드 파워비즈 진행 2020년1월8일 시작~2021년 1월8일까지
설문조사
3월 15일부터 시행되고 있는 개정 개인정보보호법과 관련해 가장 까다롭고 이행하기 어려운 조항은 무엇인가요?
인공지능(AI) 등 자동화된 결정에 대한 정보주체 권리 구체화
접근권한 관리 등 개인정보 안전성 확보조치 강화 및 고유식별정보 관리실태 정기조사
영향평가 요약본 공개제도 도입 등 개인정보 영향평가제도
영상정보처리기기 및 안전조치 기준
개인정보 보호책임자의 전문성 강화 위한 전문CPO 지정
국외 수집·이전 개인정보 처리방침 공개 등 개인정보 처리방침 평가제도
손해배상책임 의무대상자 변경 및 확대
공공기관 개인정보 보호수준 평가 확대
기타(댓글로)