Home > 전체기사
블랙햇과 데프콘 일정에 맞춘 해병대의 열린 해킹 대회
  |  입력 : 2018-08-14 15:25
페이스북 보내기 트위터 보내기 네이버 밴드 보내기 카카오 스토리 보내기
핵 더 마린즈...미국 국방부의 버그바운티 시리즈 중 최신 버전
군 관계자들 현장에 다수 나와 민간 해커들과 교류의 시간 가져


[보안뉴스 문가용 기자] 미국 해병대가 라스베이거스에서 버그바운티성 해킹 대회를 라이브로 개최했다. 해병대가 운영하고 있는 웹사이트들 중 인터넷을 통해 누구나 접속이 가능한 사이트나 서비스에서 취약점을 찾아낼 경우 상금을 수여하는 프로그램이었다. 이날 해병대는 총 8만 달러를 지출했고 75개의 새로운 취약점을 찾아냈다.

[이미지 = iclickart]


이 프로그램의 이름은 ‘핵 더 펜타곤(Hack the Pentagon)’ 혹은 ‘핵 디 에어포스(Hack the Air Force)’와 비슷한 ‘핵 더 마린즈(Hack the Marines)’였다. 행사는 ‘실시간 버그바운티’ 혹은 ‘해커톤’과 유사한 방식으로 진행됐다. 제한된 시간 안에 취약점을 찾아내면, 그 취약점의 경중에 따라 상금을 수여한 것이다. 하지만 해병대는 2018년 8월 26일까지 해커원(HackerOne) 플랫폼을 통해 추가 취약점을 제보 받는다. 추가 제보의 경우 상금은 없다.

핵 더 마린즈는 미국 국방부가 실시하는 여섯 번째 버그바운티 프로그램이다. 2016년 핵 더 펜타곤을 시작으로 국방부는 육군, 공군 등 여러 분야에서 버그바운티를 진행해왔다. 그리고 매번 엄청난 취약점을 찾아내 시스템을 강화하는 데 성공했다.

이번 대회에 참가하기 위해서는 해커원과 해병대가 마련한 예선을 행사 전에 미리 통과해야만 했다. 예선 통과한 약 100여 명의 보안 전문가들이 8월 12일 행사장에서 9시간 동안 실력을 겨뤘다. 해커원의 CEO인 마틴 미코스(Martin Mickos)는 “아직 버그들에 대한 세부적인 내용을 전부 공개하기는 어렵다”고 설명했으나 “흔한 웹사이트 오류들인 인증 버그, XSS 등이 포함되어 있다”고 귀띔했다.

현장에는 해병대 사이버 사령부에 소속된 레드팀과 블루팀 구성원들도 함께했다. 이들은 민간 해커 혹은 사이버 보안 전문가들이 자신들의 시스템을 이리 저리 분해하는 걸 지켜보고, 취약점의 경중을 판단했다. 그러면서 민간 전문가들과의 교류 폭을 지속적으로 넓혀나갔다.

미코스는 “경쟁 대회이기도 하지만 한편으로는 교류의 장이기도 했다”며 “실력을 키우면서 인적 네트워크도 굳건히 다지는 게 이런 해킹 대회의 의미”라고 설명했다. “민간 전문가들로서도 국방부 시스템을 접하며 군 부대 요원들과 의견을 나누는 게 커다란 도움이 될 것입니다.”

해병대 사이버 사령부 소속 매튜 글레이비(Matthew Glavy) 중령은 “핵 더 마린즈를 통해 윤리적 해커 커뮤니티와 소통할 수 있었다는 게 가장 큰 성과”라고 말했다. “또한 이러한 인재들의 도움으로 해병대의 시스템이 더 단단해질 수 있었다는 것도 대단한 의미를 갖습니다.” 또한 “오늘 현장에서 배운 것들을 토대로 사이버 방어를 해나갈 수 있을 것”이라고도 덧붙였다.

한편 미국 국방부 전체적으로 보면 버그바운티 프로그램을 통해 현재까지 약 5000개가 넘는 취약점들을 찾아내 수정했다.

3줄 요약
1. 미국 해병대, 보안 행사에 참석해 버그바운티성 해킹 대회 열다.
2. 총 8만 달러 사용해, 75개의 새로운 취약점 발견하는 성과 올리다.
3. 경쟁 대회이면서도 만남의 장 된 행사. 강화된 커뮤니티 내 네트워크가 대회의 진짜 목적.

[국제부 문가용 기자(globoan@boannews.com)]

Copyrighted 2015. UBM-Tech. 117153:0515BC
<저작권자: 보안뉴스(www.boannews.com) 무단전재-재배포금지>

  •  
  • 0
  • 페이스북 보내기 트위터 보내기 네이버 밴드 보내기 카카오 스토리 보내기


  •  SNS에서도 보안뉴스를 받아보세요!! 
넷앤드 파워비즈 진행 2020년1월8일 시작~2021년 1월8일까지위즈디엔에스 2018파워비즈배너 시작 11월6일 20181105-20200131
설문조사
데이터3법 통과로 데이터 보안의 중요성이 더욱 커지고 있는 가운데 귀사에서 사용하고 있는 DB암호화 솔루션의 만족도는 어느 정도인가요?
매우 만족
만족
보통
불만족
당장 바꾸고 싶다
올해 도입 예정
필요성을 못 느낀다
기타(댓글로)