들쑥날쑥한 버그바운티 시장, 전체적으로는 확대되는 중

구글 등 버그바운티의 메이저 기업들은 최근 금액 대폭 인상해
시장은 아직 안정기에 접어들지 못해...거품이 낀 가격도 있을 듯

[보안뉴스 문가용 기자] 버그바운티 금액이 계속해서 오르고 있다. 7월 18일 구글은 자사 웹 서비스, 크롬 OS, 안드로이드 소프트웨어에서 발견된 취약점들에 대한 현상금을 올린다고 발표했다. 그런데 그 인상의 정도가 꽤나 놀랍다. 최고로 받을 수 있는 금액을 5천 달러에서 1만 5천 달러로, 무려 세 배나 올린 것이다.

[이미지 = iclickart]

또한 ‘고품질의 보고서’에 대한 상금도 1만 5천 달러에서 3만 달러로, 두 배나 한 번에 높였다. 크롬북에서 코드 실행 공격을 가능케 하는 익스플로잇 사슬을 발견할 경우 최고 15만 달러까지 받을 수 있다.

구글만 버그바운티를 확대한 것이 아니다. 다른 회사들도 비슷한 움직임을 보이고 있다. 실제로 버그바운티 플랫폼인 버그크라우드(Bugcrowd)가 조사한 바에 따르면 올해 취약점 발견에 따른 회사의 지불 금액이 평균 83% 상승했다고 한다. 버그크라우드의 CTO인 케이시 엘리스(Casey Ellis)는 “치명적인 위험도를 가진 취약점의 평균 보상 금액이 2700달러인 상태”라고 설명한다. “모든 정보와 상황을 봤을 때, 버그바운티의 금액은 현재 계속해서 우상향 중입니다.”

10년 전만 하더라도 기업들은 해커들에게 돈을 지불하고 취약점을 파헤쳐 달라고 하는 게 과연 옳은 일인가를 논했었다. 버그바운티가 나쁜 제도라고 주장하는 전문가들은 5년 전만해도 쉽게 찾을 수 있었다. 하지만 이제 취약점 하나 당 가격이 최소 1천 달러에 이른다. 등급에 따라 1만 달러를 넘어서기도 한다.

또 다른 버그바운티 플랫폼인 해커원(HackerOne)에 따르면 2018년 한 해 동안 버그바운티 사냥꾼들이 번 금액은 총 1900만 달러라고 한다. 2017년에는 1170만 달러였다. 그만큼 버그바운티 시장이 커지고 있다는 뜻이다. “버그바운티를 실시하는 기업들이 늘어나고 있습니다. 그 종류도 다양해지고 있고요. 보상이 좋아지면서 더 많은 인재들이 영입되고 있기도 합니다. 모든 면에서 성장을 돕는 순환이 이뤄지고 있습니다.” 해커원의 제품 담당자인 미주 한(Miju Han)의 설명이다.

버그바운티가 실제로 보안 강화에 도움이 된다는 보고서도 최근에 나왔었다. 지난 6월에 열린 WEIS(Workshop on the Economics of Information Security)라는 행사에서 발표된 것으로, 발표자들은 버그바운티의 가장 큰 장점으로 1) 일정 해커들이 공격하지 못하도록 막는 역할을 한다(왜냐하면 버그바운티에 참여한 해커들이 공격자로 돌변할 가능성은 극히 낮으므로)는 것과, 2) 공격 가능성이 있는 자들을 오히려 기업 보안 강화를 위한 협력자로 만든다는 것을 꼽았다.

하지만 버그바운티가 반드시 성공만 하는 건 아니다. 방금 언급된 보고서에서는 버그바운티의 성공 조건이 언급됐는데, 하나는 “내부 보안 프로그램과 담당 팀을 반드시 보유하고 있어야 한다”는 것이었다. 보안 팀이나 내부 보안 정책 없이, 버그바운티만으로 보안을 강화하는 건 오히려 실패 사례를 양산한다고 발표자들은 경고했다. 또 다른 하나는 정말로 가치가 높은 정보를 보유하고 있는 조직이라면, 버그바운티를 하더라도 해커들의 공격을 다 막을 수 없다는 걸 인정해야 한다는 것이었다. “즉 너무나 가치가 높은 정보가 있다고 스스로 판단되는 조직이라면 버그바운티를 하나의 보조 수단으로 여겨야만 한다는 겁니다.”

WEIS에서 이러한 연구 결과를 발표한 건 홍콩과학기술대학의 지알리 조우(Jiali Zhou)와 카일룽 후이(Kail-Lung Huii)다. 둘은 “버그바운티를 만병통치약으로 생각하는 순간 프로그램에 망조가 깃든다”고 강조했다. “모든 조직들은 버그바운티를 하든 말든, 보유하고 있는 데이터와 디지털 자산의 가치를 객관적으로 알고 있어야 하고, 스스로 방어할 능력을 갖추고 있어야 합니다. 그런 기반이 있어야 버그바운티가 큰 효과를 발휘합니다.”

한편 버그바운티의 가격이 빠르게 올라가는 이유는 아직 명확하지 않다. 버그크라우드 측은 “버그바운티를 통해 더 단단해지고, 그래서 취약점을 찾는 게 점점 더 어려워지는 시스템들이 많다”며 정말 버그바운티가 잘 되고 있다면 가격이 안정화 되던지 오히려 떨어져야 정상이지 않느냐고 질문을 던진다. 그러면서 “가격이 올라가고 있다는 건, 단단해지는 소프트웨어의 수보다 해커들의 공격 대상이 되는 소프트웨어의 수가 더 많다는 뜻”이라고 해석했다.

“공격자들도 필사적으로 취약점을 찾고 있고, 그래서 더 많은 조직들이 버그바운티를 창설하거나 확대시키는 것으로 보입니다. 아직 시장이 안정기를 찾지 못했다는 것도 짚고 넘어가야 할 부분입니다. 가격 표준이 제대로 정립하지 않고 있죠. 지금은 기업이 알아서 독자적으로 가격을 정하고 있고, 그 과정에서 필요 이상으로 가격이 올라가고 있는 현상도 발생하는 것 같습니다.”

3줄 요약
1. 구글 등 주요 업체들, 버그바운티 금액 대폭 인상. 버그바운티 평균 금액도 오르는 중.
2. 버그바운티의 가장 큰 장점은 공격 가능성을 가진 해커 일부를 우리 편으로 돌린다는 것.
3. 버그바운티 시장, 아직은 안정과는 거리가 멂. 지금 오르는 가격, 어쩌면 거품일수도.

[국제부 문가용 기자(globoan@boannews.com)]

내년 회사에 꼭 도입하고 싶은 보안 솔루션 또는 플랫폼은 무엇인가요?
	XDR
	EDR
	AI 보안
	제로트러스트
	공급망 보안 체계(SBOM)
	클라우드 보안 솔루션
	기타(댓글로)