세계 보안 엑스포  전자정부 솔루션 페어  개인정보보호 페어  국제 사이버 시큐리티 컨퍼런스  세계 태양에너지 엑스포  스마트팩토리  세계 다이어트 엑스포  INFO-CON
미국 국방부, 1년 동안 취약점 2837개 공짜로 고쳤다
  |  입력 : 2017-11-14 10:28
페이스북 보내기 트위터 보내기 네이버 밴드 보내기 카카오 스토리 보내기
현금 보상 없는 버그바운티 통해 2837개 취약점 발견
국방부는 “국민의 자발적 참여” 칭송...해커들은 “국방부에 대한 호기심 충족”


[보안뉴스 문가용 기자] 미국 국방부에서 진행하는 취약점 공개 프로그램(VDP)을 통해 2837개의 보안 취약점들이 발견되고 수정됐다. 약 1년만의 성과다. 재미있는 건 VDP가 버그바운티와는 달리 아무런 보상을 취약점 발견자들에게 하지 않는다는 것이다. 미국 국방부는 “현금 보상이 없어도 국가 안보를 위해 보안 전문가들이 자발적으로 전문성과 도움을 제공했다는 사실이 더 고무적”이라는 입장이다.

[이미지 = iclickart]


미국 국방부는 2016년 11월 21일 VDP를 시작했다. 일반 시민을 대상으로 국방부가 운영하는 여러 웹사이트들에서 누구나 취약점을 찾아내고 또 알려올 수 있도록 하는 것이었다. 공개되는 웹사이트들이 그 대상이었으므로, 누구나 여기에 참여할 수 있었다.

국방부는 VDP를 시작하기 앞서 국방부가 공개적으로 운영하는 웹사이트들을 대상으로 ‘핵 더 펜타곤(Hack the Pentagon)’이라는 버그바운티를 실시한 바 있다. 그리고 약 500개의 취약점을 수정했고, 약 30만 달러의 보상금을 지출했다. 국방부는 “핵 더 펜타곤을 통해 수백만 달러를 아낄 수 있었다”고 총평한 바 있다.

이번 VDP의 경우, 50개 국가에서 650여명의 보안 전문가들이 참가해 치명적인 취약점만 100개도 넘게 발견했다. 국가별로 보면 미국이 당연히 선두에 있고, 그 뒤를 이어 인도, 러시아, 영국, 프랑스, 파키스탄, 캐나다, 필리핀, 이집트, 호주에서 가장 많은 오류가 보고됐다. 미국 국방부는 미국인들의 애국심이 돋보였다고 해석하는 듯 하지만, 외국 해커들의 관심도 만만치 않았던 것으로 보인다.

왜 이렇게 많은 관심이 몰렸을까? 미국 국방부라서? 와이어드(Wired)라는 외신은 보안 업체 포보스 그룹(Phobos Group)의 창립자인 댄 텐틀러(Dan Tentler)의 말을 인용해 이 부분을 풀이한다. “여태까지 미국 정부가 국민들을 해킹 공격으로부터 보호하는 방법은 ‘협박’이었습니다. 겁을 줘서 스스로 보호하게끔 하던 것이었죠. 그런 분위기에서 국방부를 건드린다는 건 있을 수 없는 일이었습니다. 그런데 갑자기 ‘합법적으로’, 아무런 위협 없이 국방부의 시스템을 건드려볼 수 있다니, 호기심이 일지 않을 수 없죠. 저도 그래서 참여했고요.”

보안 전문가들의 호기심은 ‘핵 디 아미(Hack the Army)’라는 정부 버그바운티 프로그램을 통해서도 증명된 바 있다. 국방부의 핵 더 펜타곤 프로그램이 성공적으로 완결되자, 미군에서도 버그바운티를 실시한 것이 핵 디 아미다. 이 프로그램을 통해 100개 넘는 버그가 발견되었고, 약 10만 달러의 지출이 발생했다. 나쁘지 않은 성적이었다.

공군도 이를 따랐다. 그리고 핵 디 에어포스(Hack the Air Force)를 시작했다. 13만 달러에 207개의 취약점들을 수정했다. 많은 보안 전문가 및 해커들의 참여가 있기에 가능한 결과였다. 베일에 쌓여있던 군 시설이라 해킹 욕구가 무척 강한 것으로 보인다.

국방부는 버그바운티의 성공으로는 모자라다는 결론을 내리고 VDP를 실시했다. 당시 핵 더 펜타곤을 진행했고, 현재 VDP 역시 대행하고 있는 해커원(HackerOne)의 CTO인 알렉스 라이스(Alex Rice)는 “버그바운티는 초대된 사람들만 응할 수 있었고, 시간도 제한적이었다”며 “그러한 제약점이 성공적인 결과마저 제한시켰다”고 말한다. “이를 국방부도 깨달았습니다. 그래서 누구나 무한정 참여할 수 있는 VDP를 실시한 것이죠.”

국방부의 방어 디지털 서비스(Defense Digital Services)의 제품 및 기술 책임자인 마이클 청(Michael Chung)은 와이어드와의 인터뷰를 통해 “국방부는 지난 1년 동안 많은 것을 배웠다”고 말하며 “하루에도 수많은 사람들이 관련 문의를 해오는데, 얼마나 국방부에 대한 호기심이 컸었는지도 알 수 있었다”고 했다.

아직 한국 국방부나 정부 기관은 이러한 버그바운티를 실시하지 않고 있다. 그 이전에 버그바운티에 대한 인식이 아직도 그리 좋은 편이라고 할 수 없다. 실제 한국버그바운티(KBB)는 버그바운티 사업을 접으며 “남의 잘못을 제3자에게 밝힌다는 개념이 우리나라에서는 아직 통용되기 쉽지 않다”라고 밝히기도 했다.
[국제부 문가용 기자(globoan@boannews.com)]

<저작권자: 보안뉴스(www.boannews.com) 무단전재-재배포금지>

#버그   #바운티   #국방부   #취약점   #해커   #보안   #전문가   


비츠코리아 파워비즈시작 2017년7월3일파워비즈 배너
북한의 사이버 공격이 갈수록 심해지고 있습니다. 해킹 공격이 미사일 공격보다 더 무섭다는 소리도 나올 정도입니다. 정부 차원에서 더 강화된 사이버 보안을 위한 전략을 새롭게 수립해야 한다고 생각하십니까?
아니다. 지금 있는 것만 제대로 해도 충분하다.
그렇다. 단, 미국의 행정명령처럼 장기적인 방향성을 가져야 한다.
그렇다. 단, 지금의 위기상황에 당장 적용할 수 있는 것이어야 한다.
아니다. 민간 차원에서 해결할 수 있어야 한다.
정부 차원의 전략이 얼마나 도움이 될지 잘 모르겠다.
크게 보면 외교 문제다. ‘보안’의 시각으로만 접근해서는 안 된다.
기타(댓글로)