세계 보안 엑스포  전자정부 솔루션 페어  개인정보보호 페어  국제 사이버 시큐리티 컨퍼런스  세계 태양에너지 엑스포  스마트팩토리  세계 다이어트 엑스포  INFO-CON
Home > 전체기사
단단해지려면 파헤치고 부수기 위한 열정에 돈을 주어라
  |  입력 : 2018-01-22 16:08
페이스북 보내기 트위터 보내기 네이버 밴드 보내기 카카오 스토리 보내기
버그바운티 활성화 현상의 경제 원리...프리랜서 보안 전문가 늘어나
물리적 한계 극복케 해줘 일반 소득 수준 낮은 지역 해커들 활발히 참여


[보안뉴스 문가용 기자] 버그바운티 프로그램이 민간 부문과 공공 부문 모두에서 활성화되고 있다. 그에 따라 프리랜서 보안 전문가들이 안정을 찾고 있으며, 어딘가에 소속되지 않더라도 보안 전문가라는 직업을 영위할 수 있다는 분위기가 업계 내에서 진해지고 있다.

[이미지 = iclickart]


원래 ‘프리랜서 보안 전문가’는 해킹에 취미가 있는 자들의 전유물이었다. 낮에도 보안 담당자로서 근무하지만, 보안 분야의 일을 너무나 사랑해 밤에도 딴 일거리를 찾는 전문가, 그런 전문가가 되고 싶은 새내기, 전혀 다른 분야에서 활동 중이지만 보안에 흥미가 있어 기웃거리는 사람들이 바로 여기에 속한 인물 유형이었다.

조직에 속한 보안 전문가라고 해서 열정을 발휘하지 못하거나 보안에 흥미를 갖지 못한다는 소리가 아니다. 다만 회사에서 주어진 일만 할 가능성이 높다보니 보안이라는 드넓은 분야에서 한정된 기능성만 발휘할 수밖에 없고, 디지털 세상과 기술은 영역 구분 없이 넓어지기만 하는데 업무는 비슷하다보니, 그 괴리감에서 오는 상대적인 지적 호기심과 불만족이 쌓일 수밖에 없다는 것이다. 그런 사람들이 점점 버그바운티로 몰려오고 있다.

이 덕분에 기존 보안 산업의 형태가 바뀌고 있다. 보안 전문가 개개인들의 수입처가 늘어났다는 장점도 있지만 기업들 역시 보다 값싼 방법으로 ‘보안 점검’을 받을 수 있게 되었다. 내부의 전문가가 놓칠 수도 있던 것을 외부 전문가가 경쟁적으로 짚어주니 사각지대가 점점 사라진다. 그러면서 완전히 프리랜서로 전향하는 보안 전문가들이 늘어나니 기업들은 이러한 혜택을 더 많이 누릴 수 있게 되었다. 버그바운티에 의존하는 전문가들이 늘어나고 있고, 그런 전문가들에 의존하는 기업들이 많아지고 있는 것이라고 버그바운티 플랫폼인 해커원(HackerOne)은 말한다.

해커원은 약 1700명의 보안 전문가들을 대상으로 설문을 실시했는데, 그 결과 약 14%의 해커들이 “버그바운티가 전체 수입의 90~100%를 차지한다”고 답했다. 또한 25%는 “버그바운티 상금이 전체 수입의 절반을 차지한다”고 답했다. 정확한 액수로 답한 이들도 있었다. 12%가 버그바운티로 한 해 평균 2만 달러를 번다고 했고, 상위 3%는 버그바운티로만 1만 달러를 번다고 한다.

이러한 현상은 평균 수익이나 국가 소득이 낮은 편에 속하는 지역의 보안 전문가들에게 특히나 중요한 차이를 만든다. 버그바운티에 활발히 참여하는 사람들 중 인도의 보안 엔지니어들이 많은데, 이들은 인도 평균 봉급보다 약 16배를 더 번다고 한다. 실력이 뛰어나도 물리적인 한계를 뛰어넘을 수 없어 실력발휘를 못 하던 이들이 마음껏 뛰 놀 장이 마련된 것이다. 때문에 사이버 범죄의 세계로 뛰어들 법한 자들이 양지로 돌아서게 될 것이라는 전망도 나온다.

재미있는 건, 해커원의 조사에 따르면, 버그바운티 사냥꾼들 중 상당히 많은 수가 ‘독학’으로 보안 기술을 익혔다는 것이다. “물론 버그바운티 참여자의 절반가량은 대학에서 컴퓨터 과학을 전공한 사람들입니다만, 보안이나 해킹을 직접 교실에서 배운 사람은 5%도 되지 않습니다. 보안에 대한 호기심과 애정만으로 이 일에 참여하는 사람이 이렇게나 많다는 뜻으로 풀이됩니다.”

보안 전문가들이 버그바운티 플랫폼에 참여해 보안 전문가로서의 기술을 발휘하는 가장 큰 이유에는 ‘돈’이 분명히 포함되어 있지만 돈이 최고의 목적은 아니라고 해커원은 거듭 강조한다. “어려운 것을 뚫어내는 것에 대한 성취감, 그러한 활동으로 인한 지식 습득이 훨씬 더 큰 요인인 것으로 나타났습니다. ‘해커’라는 단어의 어원에는 ‘지적 호기심을 충족시키려는 자’라는 뜻이 있다는 설도 있지요.”

하지만 현실 세상에서 버그바운티는 아직 보안 강화의 주류 프로그램으로 인정받고 있지 못하다. 취약점을 찾아달라고 공개적으로 제3자에게 요청하는 것은 아직도 기피되는 게 일반적이다. 버그바운티 프로그램을 처음 시작한다는 건 대부분 기업들에게 있어 큰 용기가 필요하다.

하지만 보안 전문가이든 프리랜서 버그바운티 사냥꾼이든 어둠 속 사이버 범죄자이든, 누군가는 당신의 웹 사이트나 서버, 서비스를 해킹하고 있을 가능성이 매우 높다. 이들은 돈 때문만이 아니라 호기심과 열정만으로 해킹을 해보는 사람들이다. 누구도 뚫어보지 못한 곳에 자기의 자취를 남기고 싶어 하며, 언젠가 버그바운티가 시작될지 몰라 부지런히 취약점을 수집하고 있기도 하다.

실제로 프리랜서 보안 전문가의 25%가 취미로 취약점을 알아낸 후 해당 기업에 보고하지 않는다고 한다. 가장 큰 이유는 그 기업에 제대로 된 취약점 보고 절차가 없어서인데, 이런 곳은 취약점 제보에 오히려 소송을 걸기도 한다고 한다. 보완할 점을 알고도 알려주지 못한다는 것이다.

하지만 프리랜서를 꿈꾸는 보안 전문가들에게 한 가지 희망이 있다. 보안 취약점 제보를 열린 마음으로 받아들이는 기업이 늘고 있다는 것이다. 해커원의 설문에서 72%의 전문가들이 “과거보다 기업들이 더 우호적으로 변하고 있다”고 답했다.

[국제부 문가용 기자(globoan@boannews.com)]

Copyrighted 2015. UBM-Tech. 117153:0515BC
<저작권자: 보안뉴스(www.boannews.com) 무단전재-재배포금지>

  •  
  • 0
  • 페이스북 보내기 트위터 보내기 네이버 밴드 보내기 카카오 스토리 보내기


  •  SNS에서도 보안뉴스를 받아보세요!! 
모니터랩 파워비즈 배너 시작 18년9월12일위즈디엔에스 2018WD 파워비즈 2017-0305 시작파워비즈배너 시작 11월6일 20181105-20200131
설문조사
국내 정보보호 분야 주요 사건·이슈 가운데 정보보호산업에 가장 큰 영향을 미친 것은 무엇이라고 생각하시나요?
2001년 정보보호 규정 포함된 정보통신망법 개정
2003년 1.25 인터넷 대란
2009년 7.7 디도스 대란
2011년 개인정보보호법 제정
2013년 3.20 및 6.25 사이버테러
2014년 카드3사 개인정보 유출사고
2014년 한수원 해킹 사건
2017년 블록체인/암호화폐의 등장
기타(댓글로)