세계 보안 엑스포  전자정부 솔루션 페어  개인정보보호 페어  국제 사이버 시큐리티 컨퍼런스  세계 태양에너지 엑스포  스마트팩토리  세계 다이어트 엑스포  INFO-CON
미국 공군도 버그바운티 시작 “핵 디 에어포스”
  |  입력 : 2017-04-27 10:04
페이스북 보내기 트위터 보내기 네이버 밴드 보내기 카카오 스토리 보내기
작년 핵 더 펜타곤에 이어...미국의 동맹국 전문가들도 참여 가능
공공기관도 현재 인력 확보 전쟁 중...경쟁자는 민간업체들


[보안뉴스 문가용 기자] 미국의 공군도 버그바운티 대열에 합류했다. 이름은 ‘핵 디 에어포스(Hack the Air Force)’로 지난 해 미 국방부에서 진행했던 ‘핵 더 펜타곤(Hack the Pentagon)’의 명맥을 잇고 있다. 핵 더 펜타곤이 미국의 일부 보안 전문가들만 초청했다면, 핵 디 에어포스에는 호주, 캐나다, 뉴질랜드, 영국의 보안 전문가들까지도 참가한다.

ⓒ iclickart


미 공군의 CISO인 피터 킴(Peter Kim)은 “버그바운티 프로그램을 확장시켰다는 것이 가장 중요한 포인트”라고 짚는다. “물론 대중들에게 공개한 건 아니지만, 믿을만한 동맹국들의 특수 전문가들만을 참여시킴으로써 새로운 바람을 불러일으키고 좀 더 넓은 시각에서 보안이라는 문제를 바라볼 때가 되었다고 생각했습니다.”

미국 공군은 이번 버그바운티 프로그램을, 민간 버그바운티 전문업체인 해커원(HackerOne)과 합작해서 진행한다. 국방부 내 국방 디지털 서비스국(Defense Digital Service)의 참모총장인 레이나 스테일리(Reina Staley)는 “자체적으로 보안 시스템을 강화할 수 없는 기업들에서 주로 버그바운티 같은 ‘크라우드소스’형 취약점 점검을 실시한다”며 “익스플로잇이나 취약점의 심각성에 따라 보상 액수가 정해질 것”이라고 설명했다.

이어 스테일리 참모총장은 “국방부에서 진행했던 핵 더 펜타곤을 통해 약 1400명의 전문가들에게 7500만원을 지불했었다”고 밝히기도 했다. “버그바운티를 하기 전엔 주로 민간 업체들과 계약을 맺고 보안 점검을 실시했지만 취약점을 20개도 찾지 못했습니다. 하지만 핵 더 펜타곤을 통해 취약점을 138개나 새롭게 찾아냈습니다. 저희에겐 훨씬 좋은 일이죠.”

피터 킴은 “공군이 버그바운티를 시작하는 이유는 보안 위협거리들을 능동적으로 찾아내 빨리 고쳐내기 위함”이라고 설명하며 “사실 많은 이들이 애국심을 표출하기 위해 참가 신청을 하고 있기도 하고, 전문가들 역시 그런 이유로 참가하기도 하는 것이 매우 고무적이라고 본다”고 말했다.

그러면서 피터 킴은 “소수의 인력을 놓고 많은 조직들이 경쟁을 벌이고 있다”며 “공군 역시 페이스북, 구글과 같은 최고의 조직들을 상대로 인재 끌어 모으기 경쟁에 돌입하고 있어 자체적인 보안 강화가 점점 어려워지고 있는 상황이다”라고 버그바운티를 진행하는 속내를 설명하기도 했다.

해커원의 공동 창립자이자 CTO인 알렉스 라이스(Alex Rice)는 “미국 국방부도 지난 버그바운티를 통해 강화된 방어 체제를 갖추게 되었다”며 “확실히 외부 전문가들의 도움을 받았을 때 더 많은 취약점들이 고쳐지는 걸 경험할 수 있었다”고 한다. “세상에 버그는 많고, 찾을 사람도 많죠. 그들을 이어주는 강력한 방법이 버그바운티인 것이고요. 심지어 상금을 걸어두지 않아도 국방부의 취약점을 찾겠다는 전문가들도 있어, 지금도 사실상 핵 더 펜타곤은 상금 없이 비공식적으로 진행 중에 있습니다.”

핵 디 에어포스 참가를 위한 등록은 5월 15일부터 해커원 홈페이지를 통해 진행될 예정이다. 버그바운티 프로그램 자체는 5월 30일부터 6월 23일까지 진행된다.
[국제부 문가용 기자(globoan@boannews.com)]

Copyrighted 2015. UBM-Tech. 117153:0515BC
<저작권자: 보안뉴스(www.boannews.com) 무단전재-재배포금지>

#국방부   #미국   #공군   


비츠코리아 파워비즈시작 2017년7월3일파워비즈 배너
북한의 사이버 공격이 갈수록 심해지고 있습니다. 해킹 공격이 미사일 공격보다 더 무섭다는 소리도 나올 정도입니다. 정부 차원에서 더 강화된 사이버 보안을 위한 전략을 새롭게 수립해야 한다고 생각하십니까?
아니다. 지금 있는 것만 제대로 해도 충분하다.
그렇다. 단, 미국의 행정명령처럼 장기적인 방향성을 가져야 한다.
그렇다. 단, 지금의 위기상황에 당장 적용할 수 있는 것이어야 한다.
아니다. 민간 차원에서 해결할 수 있어야 한다.
정부 차원의 전략이 얼마나 도움이 될지 잘 모르겠다.
크게 보면 외교 문제다. ‘보안’의 시각으로만 접근해서는 안 된다.
기타(댓글로)