포켓몬 찾아 속초로 GO, 버그 찾아 플랫폼 속으로 GO

속초로, 속초로... 포켓몬 찾아 떠나는 사냥꾼들
각종 플랫폼 출현으로 늘어나는 버그 사냥꾼들...일부는 이미 유명 인사

[보안뉴스 문가용] 과장 좀 보태 전 세계 스마트폰 사용자들이 사냥꾼으로 둔갑하고 있다. 닌텐도사에서 개발한 증강현실 게임인 포켓몬 GO(Pokemon GO) 때문이다. 공식 서비스가 시작된 곳은 호주, 뉴질랜드, 미국뿐이지만 이미 비공식 경로를 통해 게임이 보급되고 있으며, 한국에서는 유일하게 속초와 울릉도에서만 가상의 몬스터들이 출현한다는 소식에 해당 지역으로 가는 고속버스들이 매진이라는 소식도 있다.

▲ 아니요, 스마트폰을 눈에 대라고요...

포켓몬 문화에 대해 아는 바가 전혀 없어 앞으로 이 게임이 어떤 콘텐츠로 사람들을 더 끌어 모을지 모르겠지만 자기가 잡은 몬스터들을 선보이는 글들이 각종 커뮤니티와 SNS에 올라오는 것을 보아 누군가는 또 이쪽 계통에서 유명세를 타고 이름을 알리며 ‘순위 싸움’도 곧 벌어지지 않을까 예상한다. 이 게임으로 프로게이머가 출현한다면, 전 세계를 다니며 사냥을 계속 이어갈까? 타지에서 만난 프로게이머와 시합도 벌이면서? 게임보다 이런 사회적 현상들이 더 재미있기도 하다.

사냥 문화가 자라나고 있는 곳은 여기, 정보보안 업계도 마찬가지다. 닌텐도가 지난 20여년 동안 만들어낸 괴물들의 수는 700종이 조금 넘는다고 한다. 이걸 사냥하러 온 세계가 들썩들썩 하고 있는데 보안업계에서 해마다 발견되는 취약점의 수는 만 개에 육박한다. CVE 넘버링 시스템이 네 자리수로 되어 있는데, 이걸 늘려야 한다는 주장은 진작부터 있어왔다. 사냥감이 이렇게 풍부한 곳이니 사냥꾼들 역시 적지 않은 수가 활동 중에 있다.

물론 사냥꾼보다는 보안전문가라는 호칭이 아직은 귀에 익숙하다. 버그바운티라는 현상금 제도가 생기고, 버그크라우드(Bugcrowd)나 인포섹인스티튜트(Infosecinstitute), 해커원(HackerOne)과 같은 플랫폼이 생기면서 기업에 속해 있던 보안전문가들이 개인적인 활동을 본격적으로 시작하게 됨에 따라 ‘버그 헌터(사냥꾼)’이라는 말이 최근에서야 등장했기 때문이다.

정보보안 업계의 평균적인 대우가 그다지 좋다고 할 수 없는 시점에 보너스 같은 수입을 보장해주는 제도와 플랫폼의 등장은 다양한 인재들의 참여를 이끌어냈다. 이미 버그크라우드와 같은 대표 플랫폼에서 활동하는 사냥꾼들의 출신 국가의 수만 112개국으로 알려졌다. 해외 매체인 핵리드(HackRead)에서는 이런 취약점 사냥을 두고 ‘현대 사회와 인류를 안전하게 해주는 행위’라고까지 한다. 최근 개봉한 영화 ‘부산행’에서 좀비를 때려잡는 마동석이라는 배우와 같은 존재랄까.

사람이 몰리다보니 자연스럽게 눈에 띄는 인물들이 하나 둘 씩 생겨났다. 누적 상금액을 따라 혹은 사냥한 취약점 개수나 ‘의미 있는(위험도가 높은)’ 취약점 사냥 비율에 따라 랭킹을 정하고 누가 더 위에 있네 마네 하는 논란도 불거지고 있다. 이들은 현재 슈퍼 헌터(super hunter)라고 불리고 있으며, 영입 전쟁도 물밑에서 벌어지고 있다는 소문도 있다. 현 시점 슈퍼 헌터라는 타이틀이 어울리는 인물로는 누가 있을까? 말한 것처럼 ‘최고’를 가리는 기준이 여럿 있지만, 어느 목록을 보던 겹치는 이름들이 제법 있었다. 그들은 다음과 같다(순위와는 상관없다).

1) 라파이 발로크(Rafay Baloch) : 파키스탄 출신으로 페이팔에서 치명적인 취약점을 찾아낸 바 있다. 이로서 1만 달러라는 상금을 받았을 뿐 아니라 페이팔이 영입까지도 시도했다. 구글, 페이스북, MS, 트위터, 드롭박스가 선정한 명예의 전당에 이름을 올리고 있다.

2) 프란스 로젠(Frans Rosen) : 해커원에서 주로 활동하며 메가(Mega)의 XSS 취약점을 발견해 1천 유로를 얻은 바 있으며 디텍티파이(Detectify)라는 보안회사를 설립해 활동 중이다. 꾸준하게 버그를 발견해 보고하는 것으로 유명하다.

3) 로이 카스틸로(Roy Castillo) : 필리핀에서 거의 가장 유명한 사냥꾼. 버그 사냥을 시작한 첫 필리핀인이라는 평가도 있다. iOS용 지메일 앱에서 저장된 XSS 취약점을 발견했으며 페이스북에서도 보상을 받은 바 있다.

4) 에밀리 스타크(Emily Stark) : 구글 크롬 보안팀에서 근무하고 있으며 몇 안 되는 여성 사냥꾼으로 정보보안은 물론 개발 업계에서도 꽤나 유명한 인사다. 다양한 버그바운티에 참여한 바 있으며 여러 사냥 플랫폼에서 활동하고 있다.

5) 이정훈 : 취약점 사냥으로서 얻은 수익만 놓고 보자면 한국 1위. 작년 폰투우온(Pwn2Own) 대회에서 파이어폭스, IE, 크롬을 뚫어내 22만 5천 달러의 상금을 획득한 바 있고, 2014년 대회에서도 꽤나 두둑한 수익을 올렸다.

6) 슈브함 샤(Shubham Shah) : 호주 시드니에서 활동하고 있는 사냥꾼으로 16살 때 이미 2중 인증 장치를 뚫어낸 전적이 있다. 그것도 구글, 페이스북, 야후, 링크드인의 2중 인증 장치였다. 페이팔, 구글, MS 등의 명예의 전당에 이름을 일찌감치 올린 천재형 화이트 해커다.

7) 닐 풀(Neal Poole) : 현재 페이스북에서 근무하고 있다. 위에서 라파이 발로크가 페이팔에 취약점을 알려줘 영입 제안을 받은 것처럼 닐 풀도 페이스북의 취약점을 열 개도 넘게 발견해 알려줘 영입된 것. 구글과 모질라의 제품들에서도 취약점을 여럿 발견한 전적이 있다.

8) 하리 하란(Hari Haran) : 인도의 유명 사냥꾼으로 버그크라우드에서 주로 활동한다. 발견하고 보고하는 취약점의 수도 만만치 않게 높은데, 위험도도 꽤나 높은 것들로 해당 업체들이 진지하게 받아들이는 경우가 무려 98%에 달한다고 한다. 알짜배기만 잡는다는 것이다.

9) 비트쿼크(Bitquark) 혹은 마스터 오브 디자스터(Master of Disaster) : 영국 출신으로 항상 이런 닉네임으로만 활동한다. 구글 사이츠(Google Sites)의 취약점 발견으로 13만 달러의 보상을 받은 바 있고, 자신이 발견한 취약점을 bitquark.co.uk라는 개인 블로그를 통해 공유한다. 베일에 많이 가려진 인물이다.

10) 니르 골드샤거(Nir Goldshager) : 임퍼바(Imperva)의 웹 애플리케이션 파이어월(Web Application Firewall)을 우회하는 데에 성공한 것을 계기로 임퍼바에서 보안을 연구했다. 매우 독특한 포지션을 허락했다고 하는데, 그에 대한 자세한 정보는 없다. 하지만 지금은 브레이크 시큐리티(Break Security)라는 보안업체의 CEO로 근무하고 있다. 페이스북의 명예의 전당에 1위를 기록한 바 있다.

크라우드소스라는 개념은 영화 제작이나 일부 상업 서비스에서만 통용되지 않는다. 이렇게 다양한 인센티브를 지급해 세계 곳곳의 인재들이 취약점을 사냥하도록 하는 것에도 ‘크라우드소싱’이라는 표현이 종종 사용된다. 크라우드소싱 보안(crowdsourcing security) 혹은 크라우드소스드 보안(crowdsourced security)이라고 하는데, 문맥 상 표현의 차이일 뿐 같은 뜻이다.

보안에 크라우드소스를 접목하니 여러 가지 장점이 생겨났는데, 1) 다양한 전문가들의 발굴 2) 다양한 배경에서 오는 다양한 문제 해결방식 습득 3) 더 많은 취약점 발견 4) 더 많은 문제 해결 등을 꼽을 수 있다. 한국 출신 사냥꾼들이 더 많은 이름을 올리고 있지 못한 것이 못내 아쉬운 것은 ‘국가의 위상을 드높이지 못해서’ 차원이 아니라, 교류를 통한 크라우드소스 보안의 장점을 배우지 못하기 때문이다. 포켓몬 매니아들이 속초로 몰리듯, 좀 더 많은 한국의 사냥꾼들이 버그크라우드 같은 곳에 접속했으면 한다. 샤냥감은 아직도 천지에 널려 있다. 700종의 피카추 친구들과 비교할 것이 아니다.
[문가용 기자(globoan@boannews.com)]

내년 회사에 꼭 도입하고 싶은 보안 솔루션 또는 플랫폼은 무엇인가요?
	XDR
	EDR
	AI 보안
	제로트러스트
	공급망 보안 체계(SBOM)
	클라우드 보안 솔루션
	기타(댓글로)