블랙햇과 데프콘 일정에 맞춘 해병대의 열린 해킹 대회

핵 더 마린즈...미국 국방부의 버그바운티 시리즈 중 최신 버전
군 관계자들 현장에 다수 나와 민간 해커들과 교류의 시간 가져

[보안뉴스 문가용 기자] 미국 해병대가 라스베이거스에서 버그바운티성 해킹 대회를 라이브로 개최했다. 해병대가 운영하고 있는 웹사이트들 중 인터넷을 통해 누구나 접속이 가능한 사이트나 서비스에서 취약점을 찾아낼 경우 상금을 수여하는 프로그램이었다. 이날 해병대는 총 8만 달러를 지출했고 75개의 새로운 취약점을 찾아냈다.

[이미지 = iclickart]

이 프로그램의 이름은 ‘핵 더 펜타곤(Hack the Pentagon)’ 혹은 ‘핵 디 에어포스(Hack the Air Force)’와 비슷한 ‘핵 더 마린즈(Hack the Marines)’였다. 행사는 ‘실시간 버그바운티’ 혹은 ‘해커톤’과 유사한 방식으로 진행됐다. 제한된 시간 안에 취약점을 찾아내면, 그 취약점의 경중에 따라 상금을 수여한 것이다. 하지만 해병대는 2018년 8월 26일까지 해커원(HackerOne) 플랫폼을 통해 추가 취약점을 제보 받는다. 추가 제보의 경우 상금은 없다.

핵 더 마린즈는 미국 국방부가 실시하는 여섯 번째 버그바운티 프로그램이다. 2016년 핵 더 펜타곤을 시작으로 국방부는 육군, 공군 등 여러 분야에서 버그바운티를 진행해왔다. 그리고 매번 엄청난 취약점을 찾아내 시스템을 강화하는 데 성공했다.

이번 대회에 참가하기 위해서는 해커원과 해병대가 마련한 예선을 행사 전에 미리 통과해야만 했다. 예선 통과한 약 100여 명의 보안 전문가들이 8월 12일 행사장에서 9시간 동안 실력을 겨뤘다. 해커원의 CEO인 마틴 미코스(Martin Mickos)는 “아직 버그들에 대한 세부적인 내용을 전부 공개하기는 어렵다”고 설명했으나 “흔한 웹사이트 오류들인 인증 버그, XSS 등이 포함되어 있다”고 귀띔했다.

현장에는 해병대 사이버 사령부에 소속된 레드팀과 블루팀 구성원들도 함께했다. 이들은 민간 해커 혹은 사이버 보안 전문가들이 자신들의 시스템을 이리 저리 분해하는 걸 지켜보고, 취약점의 경중을 판단했다. 그러면서 민간 전문가들과의 교류 폭을 지속적으로 넓혀나갔다.

미코스는 “경쟁 대회이기도 하지만 한편으로는 교류의 장이기도 했다”며 “실력을 키우면서 인적 네트워크도 굳건히 다지는 게 이런 해킹 대회의 의미”라고 설명했다. “민간 전문가들로서도 국방부 시스템을 접하며 군 부대 요원들과 의견을 나누는 게 커다란 도움이 될 것입니다.”

해병대 사이버 사령부 소속 매튜 글레이비(Matthew Glavy) 중령은 “핵 더 마린즈를 통해 윤리적 해커 커뮤니티와 소통할 수 있었다는 게 가장 큰 성과”라고 말했다. “또한 이러한 인재들의 도움으로 해병대의 시스템이 더 단단해질 수 있었다는 것도 대단한 의미를 갖습니다.” 또한 “오늘 현장에서 배운 것들을 토대로 사이버 방어를 해나갈 수 있을 것”이라고도 덧붙였다.

한편 미국 국방부 전체적으로 보면 버그바운티 프로그램을 통해 현재까지 약 5000개가 넘는 취약점들을 찾아내 수정했다.

3줄 요약
1. 미국 해병대, 보안 행사에 참석해 버그바운티성 해킹 대회 열다.
2. 총 8만 달러 사용해, 75개의 새로운 취약점 발견하는 성과 올리다.
3. 경쟁 대회이면서도 만남의 장 된 행사. 강화된 커뮤니티 내 네트워크가 대회의 진짜 목적.
[국제부 문가용 기자(globoan@boannews.com)]

3월 15일부터 시행되고 있는 개정 개인정보보호법과 관련해 가장 까다롭고 이행하기 어려운 조항은 무엇인가요?
	인공지능(AI) 등 자동화된 결정에 대한 정보주체 권리 구체화
	접근권한 관리 등 개인정보 안전성 확보조치 강화 및 고유식별정보 관리실태 정기조사
	영향평가 요약본 공개제도 도입 등 개인정보 영향평가제도
	영상정보처리기기 및 안전조치 기준
	개인정보 보호책임자의 전문성 강화 위한 전문CPO 지정
	국외 수집·이전 개인정보 처리방침 공개 등 개인정보 처리방침 평가제도
	손해배상책임 의무대상자 변경 및 확대
	공공기관 개인정보 보호수준 평가 확대
	기타(댓글로)