CVE 등록 5건에 보상금까지...‘헌팅마스터’ 윤리적 해커 모범 양성 사례 제시

실전형사이버훈련장, 파인더갭 ‘헌팅마스터 과정’ 2025년 수료식 성료

[보안뉴스 조재호 기자] 국내 대표 윤리적해커 양성과정 ‘헌팅마스터 2기’가 2025년 수료식을 마쳤다.

헌팅마스터는 한국인터넷진흥원(KISA)이 주최하고 파인더갭이 주관하며 H스페이스(HSpace)가 공동 운영하고 있다. 올해 2기는 총 63건의 취약점 보고서를 제출했고, 이 중 5건은 CVE(Common Vulnerabilities and Exposures) ID 등록과 보상금 1건 수상 등의 실적을 기록했다.

▲ 헌팅마스터 2기 수료생들이 수료식 기념 촬영을 하 고 있다. [자료: 파인더갭]

이번 2기 과정은 6-10월 약 4개월간 진행됐다. 참가자들은 모바일·리버스엔지니어링 중심의 A트랙과 웹·웹3 중심의 B트랙으로 나뉘어 실전 프로젝트를 수행했다.

헌팅마스터 과정은 이론 중심 교육을 넘어 실제 보안 현장에 필요한 기술을 직접 습득하는 ‘실전형 학습’을 강조했다. 또 지난해 1기 수료자 의견과 보안업계 현장 요구를 적극 반영해 수료 후 바로 버그헌터로 활동할 수 있는 역량과 열정, 책임감을 갖춘 31명의 최정예 교육생을 선발했다.

선발된 교육생들은 정규 교육과정 중 실시한 미니 프로젝트와 정규 과정 이후 진행한 팀 프로젝트를 통해 이미지매직(mageMagick), 엑시브2(Exiv2), 리브라아카이브(libarchive), 워드프레스(WordPress) 등 실제 상용 소프트웨어 취약점 63건을 제보했다. 이 중 5건이 CVE로 공식 등록됐다.

또 통신사에 보고된 IDOR 취약점은 공식 인정과 함께 실제 보상으로 이어졌다. 리눅스 커널, 드라이버, DeFi 등 다양한 영역에서 실질적 연구 성과를 냈다. 인정(Validated) 보고서 3건, 진행 중(In Progress) 보고서 24건이 확인되며, 교육생들이 파인드더갭(FindTheGap), 해커원(HackerOne), 이뮤네티(Immunefi) 등 글로벌 버그바운티 생태계에 참여할 수 있는 역량을 확보한 것으로 평가됐다.

헌팅마스터 과정의 또 다른 차별점은 1기 수료생들이 이번 과정에서 프로젝트 리더로 참여해 후배 기수를 이끈 ‘선순환 멘토링 구조’다. 이를 통해 단발적 교육에 그치지 않고, 실제 버그헌터로서 지속 성장할 수 있도록 지원하는 등 다른 프로그램과 차별점을 보였다.

김오중 파인더갭 대표는 “헌팅마스터는 단순한 이론 강의가 아닌, 실제 제보 가능한 수준의 결과를 만들어내는 성과 중심 교육이 핵심”이라며 “앞으로도 KISA와 협력 아래 윤리적 해커들이 지속 성장할 수 있는 실전형 학습 생태계를 확대하겠다”고 말했다.

[조재호 기자(sw@boannews.com)]

우리나라 정보보호 수준 향상을 위해 이재명 정부에게 가장 바라는 점은 무엇인가요?
	ISMS 등 보안 인증 제도 실효성 개선
	AI 보안, 양자보안 등 보안 기술 연구개발 지원 확대
	중소 기업 보안 지원 확대
	기업 보안 예산 비율 의무화
	국가 정보보호 거버넌스 체계 정비
	기타(댓글로)