세계 보안 엑스포  전자정부 솔루션 페어  개인정보보호 페어  국제 사이버 시큐리티 컨퍼런스  세계 태양에너지 엑스포  스마트팩토리  세계 다이어트 엑스포  INFO-CON
미국 공군도 버그바운티 시작 “핵 디 에어포스”
  |  입력 : 2017-04-27 10:04
페이스북 보내기 트위터 보내기 네이버 밴드 보내기 카카오 스토리 보내기
작년 핵 더 펜타곤에 이어...미국의 동맹국 전문가들도 참여 가능
공공기관도 현재 인력 확보 전쟁 중...경쟁자는 민간업체들


[보안뉴스 문가용 기자] 미국의 공군도 버그바운티 대열에 합류했다. 이름은 ‘핵 디 에어포스(Hack the Air Force)’로 지난 해 미 국방부에서 진행했던 ‘핵 더 펜타곤(Hack the Pentagon)’의 명맥을 잇고 있다. 핵 더 펜타곤이 미국의 일부 보안 전문가들만 초청했다면, 핵 디 에어포스에는 호주, 캐나다, 뉴질랜드, 영국의 보안 전문가들까지도 참가한다.

ⓒ iclickart


미 공군의 CISO인 피터 킴(Peter Kim)은 “버그바운티 프로그램을 확장시켰다는 것이 가장 중요한 포인트”라고 짚는다. “물론 대중들에게 공개한 건 아니지만, 믿을만한 동맹국들의 특수 전문가들만을 참여시킴으로써 새로운 바람을 불러일으키고 좀 더 넓은 시각에서 보안이라는 문제를 바라볼 때가 되었다고 생각했습니다.”

미국 공군은 이번 버그바운티 프로그램을, 민간 버그바운티 전문업체인 해커원(HackerOne)과 합작해서 진행한다. 국방부 내 국방 디지털 서비스국(Defense Digital Service)의 참모총장인 레이나 스테일리(Reina Staley)는 “자체적으로 보안 시스템을 강화할 수 없는 기업들에서 주로 버그바운티 같은 ‘크라우드소스’형 취약점 점검을 실시한다”며 “익스플로잇이나 취약점의 심각성에 따라 보상 액수가 정해질 것”이라고 설명했다.

이어 스테일리 참모총장은 “국방부에서 진행했던 핵 더 펜타곤을 통해 약 1400명의 전문가들에게 7500만원을 지불했었다”고 밝히기도 했다. “버그바운티를 하기 전엔 주로 민간 업체들과 계약을 맺고 보안 점검을 실시했지만 취약점을 20개도 찾지 못했습니다. 하지만 핵 더 펜타곤을 통해 취약점을 138개나 새롭게 찾아냈습니다. 저희에겐 훨씬 좋은 일이죠.”

피터 킴은 “공군이 버그바운티를 시작하는 이유는 보안 위협거리들을 능동적으로 찾아내 빨리 고쳐내기 위함”이라고 설명하며 “사실 많은 이들이 애국심을 표출하기 위해 참가 신청을 하고 있기도 하고, 전문가들 역시 그런 이유로 참가하기도 하는 것이 매우 고무적이라고 본다”고 말했다.

그러면서 피터 킴은 “소수의 인력을 놓고 많은 조직들이 경쟁을 벌이고 있다”며 “공군 역시 페이스북, 구글과 같은 최고의 조직들을 상대로 인재 끌어 모으기 경쟁에 돌입하고 있어 자체적인 보안 강화가 점점 어려워지고 있는 상황이다”라고 버그바운티를 진행하는 속내를 설명하기도 했다.

해커원의 공동 창립자이자 CTO인 알렉스 라이스(Alex Rice)는 “미국 국방부도 지난 버그바운티를 통해 강화된 방어 체제를 갖추게 되었다”며 “확실히 외부 전문가들의 도움을 받았을 때 더 많은 취약점들이 고쳐지는 걸 경험할 수 있었다”고 한다. “세상에 버그는 많고, 찾을 사람도 많죠. 그들을 이어주는 강력한 방법이 버그바운티인 것이고요. 심지어 상금을 걸어두지 않아도 국방부의 취약점을 찾겠다는 전문가들도 있어, 지금도 사실상 핵 더 펜타곤은 상금 없이 비공식적으로 진행 중에 있습니다.”

핵 디 에어포스 참가를 위한 등록은 5월 15일부터 해커원 홈페이지를 통해 진행될 예정이다. 버그바운티 프로그램 자체는 5월 30일부터 6월 23일까지 진행된다.
[국제부 문가용 기자(globoan@boannews.com)]

Copyrighted 2015. UBM-Tech. 117153:0515BC
<저작권자: 보안뉴스(www.boannews.com) 무단전재-재배포금지>

#국방부   #미국   #공군   


정부에서 가상화폐의 거래 투명성을 확보하기 위한 가상화폐 거래소 규제 방안을 마련했습니다. 정부의 가상화폐 정책에 있어 가장 중요한 원칙은 무엇이라고 보시나요?
모든 가상화폐는 시장 원리에 따라 정부의 개입이나 규제는 최소화되어야 함.
모든 가상화폐는 통화로 인정할 수 없다는 것을 전제로 보다 적극적인 규제에 나서야 함.
가상화폐 중 암호화폐의 경우 정식 통화로 인정하고 이에 따른 대안을 마련해야 함.
가상화폐중 비트코인 등의 암호화폐와 그 외의 가상화폐를 분리 대응해야 함.
기타(댓글로)