세계 보안 엑스포  전자정부 솔루션 페어  개인정보보호 페어  국제 사이버 시큐리티 컨퍼런스  세계 태양에너지 엑스포  스마트팩토리  세계 다이어트 엑스포  INFO-CON
Home > 전체기사
미국 국방부, 1년 동안 취약점 2837개 공짜로 고쳤다
  |  입력 : 2017-11-14 10:28
페이스북 보내기 트위터 보내기 네이버 밴드 보내기 카카오 스토리 보내기
현금 보상 없는 버그바운티 통해 2837개 취약점 발견
국방부는 “국민의 자발적 참여” 칭송...해커들은 “국방부에 대한 호기심 충족”


[보안뉴스 문가용 기자] 미국 국방부에서 진행하는 취약점 공개 프로그램(VDP)을 통해 2837개의 보안 취약점들이 발견되고 수정됐다. 약 1년만의 성과다. 재미있는 건 VDP가 버그바운티와는 달리 아무런 보상을 취약점 발견자들에게 하지 않는다는 것이다. 미국 국방부는 “현금 보상이 없어도 국가 안보를 위해 보안 전문가들이 자발적으로 전문성과 도움을 제공했다는 사실이 더 고무적”이라는 입장이다.

[이미지 = iclickart]


미국 국방부는 2016년 11월 21일 VDP를 시작했다. 일반 시민을 대상으로 국방부가 운영하는 여러 웹사이트들에서 누구나 취약점을 찾아내고 또 알려올 수 있도록 하는 것이었다. 공개되는 웹사이트들이 그 대상이었으므로, 누구나 여기에 참여할 수 있었다.

국방부는 VDP를 시작하기 앞서 국방부가 공개적으로 운영하는 웹사이트들을 대상으로 ‘핵 더 펜타곤(Hack the Pentagon)’이라는 버그바운티를 실시한 바 있다. 그리고 약 500개의 취약점을 수정했고, 약 30만 달러의 보상금을 지출했다. 국방부는 “핵 더 펜타곤을 통해 수백만 달러를 아낄 수 있었다”고 총평한 바 있다.

이번 VDP의 경우, 50개 국가에서 650여명의 보안 전문가들이 참가해 치명적인 취약점만 100개도 넘게 발견했다. 국가별로 보면 미국이 당연히 선두에 있고, 그 뒤를 이어 인도, 러시아, 영국, 프랑스, 파키스탄, 캐나다, 필리핀, 이집트, 호주에서 가장 많은 오류가 보고됐다. 미국 국방부는 미국인들의 애국심이 돋보였다고 해석하는 듯 하지만, 외국 해커들의 관심도 만만치 않았던 것으로 보인다.

왜 이렇게 많은 관심이 몰렸을까? 미국 국방부라서? 와이어드(Wired)라는 외신은 보안 업체 포보스 그룹(Phobos Group)의 창립자인 댄 텐틀러(Dan Tentler)의 말을 인용해 이 부분을 풀이한다. “여태까지 미국 정부가 국민들을 해킹 공격으로부터 보호하는 방법은 ‘협박’이었습니다. 겁을 줘서 스스로 보호하게끔 하던 것이었죠. 그런 분위기에서 국방부를 건드린다는 건 있을 수 없는 일이었습니다. 그런데 갑자기 ‘합법적으로’, 아무런 위협 없이 국방부의 시스템을 건드려볼 수 있다니, 호기심이 일지 않을 수 없죠. 저도 그래서 참여했고요.”

보안 전문가들의 호기심은 ‘핵 디 아미(Hack the Army)’라는 정부 버그바운티 프로그램을 통해서도 증명된 바 있다. 국방부의 핵 더 펜타곤 프로그램이 성공적으로 완결되자, 미군에서도 버그바운티를 실시한 것이 핵 디 아미다. 이 프로그램을 통해 100개 넘는 버그가 발견되었고, 약 10만 달러의 지출이 발생했다. 나쁘지 않은 성적이었다.

공군도 이를 따랐다. 그리고 핵 디 에어포스(Hack the Air Force)를 시작했다. 13만 달러에 207개의 취약점들을 수정했다. 많은 보안 전문가 및 해커들의 참여가 있기에 가능한 결과였다. 베일에 쌓여있던 군 시설이라 해킹 욕구가 무척 강한 것으로 보인다.

국방부는 버그바운티의 성공으로는 모자라다는 결론을 내리고 VDP를 실시했다. 당시 핵 더 펜타곤을 진행했고, 현재 VDP 역시 대행하고 있는 해커원(HackerOne)의 CTO인 알렉스 라이스(Alex Rice)는 “버그바운티는 초대된 사람들만 응할 수 있었고, 시간도 제한적이었다”며 “그러한 제약점이 성공적인 결과마저 제한시켰다”고 말한다. “이를 국방부도 깨달았습니다. 그래서 누구나 무한정 참여할 수 있는 VDP를 실시한 것이죠.”

국방부의 방어 디지털 서비스(Defense Digital Services)의 제품 및 기술 책임자인 마이클 청(Michael Chung)은 와이어드와의 인터뷰를 통해 “국방부는 지난 1년 동안 많은 것을 배웠다”고 말하며 “하루에도 수많은 사람들이 관련 문의를 해오는데, 얼마나 국방부에 대한 호기심이 컸었는지도 알 수 있었다”고 했다.

아직 한국 국방부나 정부 기관은 이러한 버그바운티를 실시하지 않고 있다. 그 이전에 버그바운티에 대한 인식이 아직도 그리 좋은 편이라고 할 수 없다. 실제 한국버그바운티(KBB)는 버그바운티 사업을 접으며 “남의 잘못을 제3자에게 밝힌다는 개념이 우리나라에서는 아직 통용되기 쉽지 않다”라고 밝히기도 했다.
[국제부 문가용 기자(globoan@boannews.com)]

<저작권자: 보안뉴스(www.boannews.com) 무단전재-재배포금지>

  •  
  • 2
  • 페이스북 보내기 트위터 보내기 네이버 밴드 보내기 카카오 스토리 보내기


  •  SNS에서도 보안뉴스를 받아보세요!! 
모니터랩 파워비즈 배너 시작 18년9월12일위즈디엔에스 2018WD 파워비즈 2017-0305 시작파워비즈배너 시작 11월6일 20181105-20200131
설문조사
2019년은 4차 산업혁명을 이끌 보안기술들이 본격적으로 상품화될 것으로 기대되고 있습니다. 2019년에 선보이는 다양한 보안기술 중에서 어떤 기술이 가장 주목을 받을 것이라고 생각하시나요?
실시간 위협탐지·대응 기술 EDR
빅데이터 기반의 인공지능(AI) 보안기술
음성인식·행동인식 등 차세대 생체인식기술
차세대 인터넷, 블록체인 기반 보안기술
보안위협 분석 위한 인텔리전스 보안기술
대세는 클라우드, 클라우드 기반 보안기술
IoT 기기를 위한 경량화 보안기술
IP 카메라 해킹 대응 개인영상 정보보호 기술