Home > 전체기사 > 외신
[주말판] 버그바운티를 시작해 보려는 해커들을 위한 조언
  |  입력 : 2020-11-07 16:18
페이스북 보내기 트위터 보내기 네이버 밴드 보내기 카카오 스토리 보내기
버그크라우드와 해커원, 현재 전 세계에서 가장 큰 버그바운티 플랫폼
돈만 좇아봐야 오래 가지 못해…평소 좋아하는 브랜드와 회사부터 시작


[보안뉴스 문가용 기자] 디즈니의 히트작 중 하나인 만달로리안(Mandalorian)에서 현상금 사냥꾼들은 길드에 가입해 명성을 쌓고 가장 좋은 현상금 정보를 얻어낸다. 머나먼 은하수 저편에서 일어나는 상상 속의 일이라고는 하지만 현실 속 버그바운티 사냥꾼들의 생활상이 그대로 담겨 있는 것 같아 개인적으로 재미있게 보고 있다.

[이미지 = utoimage]


현실적으로 말해 완전히 독자적으로 활동하는 버그바운티 현상금 사냥분은 오래 가기가 힘들다. 현재 가장 큰 버그바운티 ‘길드’는 크게 두 가지가 있다고 볼 수 있는데 하나는 해커원(HackerOne)이고 다른 하나는 버그크라우드(Bugcrowd)다. 만달로리안의 사냥꾼들처럼 버그 헌터들도 이 두 거대 길드에 가입하는 게 여러모로 안전하다. 이 두 길드는 2011년부터 현재까지 총 2억 달러에 다다르는 투자금을 유치한 바 있다.

조직의 입장에서 봤을 때 버그바운티 프로그램을 진행하는 것과 취약점 공개 프로그램을 진행하는 것에는 어떤 차이가 있을까? 버그바운티를 실시해 본 미국 국방부는 “취약점 공개 프로그램은 보다 장기적인 목표를 달성하고자 할 때 적합하고 버그바운티는 특정 프로그램이나 서비스를 단기간 안에 검사할 때 유리하다”고 말한다. 실제 보안 전문가들은 “버그바운티는 금전적 보상이 반드시 있고, 취약점 공개 프로그램은 그렇지 않을 때가 있다”고 짚는다.

해커원과 버그크라우드는 이런 ‘금전적 보상’의 일부를 떼어가는 대신 버그바운티를 진행하고자 하는 조직들과 금전적 보상을 원하는 보안 전문가들 사이에 다리를 놓는 역할을 한다. 스스로 기업들을 대신해 버그바운티 프로그램을 개설해 진행하기도 한다. 돈이 되는 사업을 스스로를 위해, 그리고 해커들을 위해 만드는 것이다. 2019년 해커원이라는 거대 길드에 가입해 활용한 해커들은 약 4천만 달러를 번 것으로 집계됐다. 2018년은 3100만 달러가 기록됐다. 이 두 해 동안 길드에 가입한 사냥꾼들의 수는 2배 가까이 늘어 현재 약 60만 명의 회원이 활동 중에 있다.

그럼에도 경험이 많은 버그바운티 전문가들은 ‘메이저’로 분류되는 플랫폼만이 아니라 다른 곳에도 가입해두는 것이 좋다고 권고한다. 그러면서 버그바운티제이피(Bugbountyjp), 해큰프루프(Hackenproof), 인티그리티(Intigriti), 오픈 버그 바운티(Open Bug Bounty), 요고샤(Yogosha) 등을 권장한다. 버그크라우드의 CTO인 케이시 엘리스(Casey Ellis)는 “어떤 플랫폼에 등록하든 정말로 취약점 사냥을 할 줄 알아야 한다”고 강조한다. “코딩 좀 하고, 특정 임무 수행에 필요한 도구를 다룰 줄 아는 것과 버그 사냥을 할 줄 아는 것에는 큰 차이가 있습니다.”

그러면서 엘리스는 “버그 사냥꾼들 사이에도 등급이 존재한다”며 “일년에 1백만 달러 정도의 수입을 올리는 취약점 사냥꾼들은 극소수”라고 강조한다. “기업들이 취약점 하나에 어마어마한 상금을 걸죠. 이 금액만 보고 버그 샤냥꾼이 되기로 결심했다? 아니오. 그래봐야 정말로 그 돈을 버는 사람은 얼마 되지 않아요. 10만 달러에서 25만 달러 사이의 수익을 올리는 유형의 해커가 조금 더 많고, 3만~4만 사이에 그치는 헌터들이 훨씬 더 많습니다. 제일 많은 부류는 취미생활처럼 이따금씩만 참여하는 해커들입니다.”

엘리스는 “이상하게 버그바운티를 시작해보려는 보안 전문가들은 ‘버그 헌터로 살면 자유롭게 내가 하고 싶은 것을 하면서 떼돈을 벌 수 있다’고 여기는 경향이 강하다”며 “이 꿈 같은 생활을 영위하는 데 성공하는 건 전 세계에서 열손가락 안에 드는 소수 중에서도 일부”라는 걸 강조했다. “심지어 한두 번 백만 불짜리 버그를 발견했다고 해서 남은 생애 동안 비슷한 업적을 또 남기리라는 보장도 없어요. 보기에 따라 버그바운티로만 생활한다는 건 일용직 생활을 하는 것과 비슷합니다. 대부분의 사람들에겐 그것이 현실입니다.”

엘리스는 버그바운티가 시작된 건 1995년이지만 전문적으로 버그 사냥만 해서 먹고 사는 사람들이 생겨난 건 10년도 채 되지 않았다는 점을 계속해서 강조했다. 그러면서 취약점 연구 경력이 몇 년이든, 취약점 사냥꾼으로만 살고자 하는 사람들이라면 꼭 알아두어야 할 것으로 다음 몇 가지를 꼽았다.

1. 돈을 좇다보면 쉽게 지친다
이미 인터넷에는 유명 상금 사냥꾼들이 만든 버그바운티 활동 가이드와 팁들이 상당량 존재한다. 실제로 많은 돈을 받아봤고, 많은 시간을 투자해본 사람들이 만든 자료들이다. 따라서 이 영상들을 충분히 찾아본 후에 결심을 해도 늦지 않다. 또한 아직 기술적으로 초보 단계에 있다고 판단된다면 인터넷이 작동 원리(HTTP와 TCP/IP의 기본), 네트워킹 기초, 명령행 사용법 등부터 공부하는 것이 권장된다. 리눅스와 웹 기술들에 대한 책을 부지런히 독파하는 것도 추천된다. 자바스크립트, PHP, 자바는 거의 필수라고 보면 된다. 트위터, 유튜브, 각종 블로그 활동을 하는 전문가들을 팔로하는 것도 초보자들이 꼭 해야 할 일로 꼽힌다.

하지만 이렇게 부지런히 선배들을 좇아다니며 공부하는 이유가 무엇인가 먼저 짚어내야 한다. 공부라는 게 결코 쉽지 않은데, 돈 좀 벌어보려는 목적 하나만으로 극복이 될까? 극소수를 빼놓고는 의외로 그렇지 않다. 페이스북 버그바운티 프로그램을 통해 유명해진 버그 헌터 필립 헤어우드(Philippe Harewood)는 “‘나는 왜 취약점을 찾아내려고 하는가? 취약점 발굴을 통해 내가 배우고 싶은 것은 무엇인가?’와 같은 질문을 스스로에게 던져 답할 수 있어야 합니다. 자신의 동기가 분명해지면 활동에 가속도가 붙죠.”

그러면서 헤어우드는 “숨어 있을지 모르는 취약점을 찾아내려면 창의력을 크게 발휘해야 하는데, 그 과정이 너무나 즐겁고, 나에게 있어서만큼은 게임을 하거나 독서를 하는 것만큼의 기쁨을 안겨준다”고 말한다. “그런 즐거움 자체가 상금을 받는 것보다 더 좋았고, 그러다 보니 상금의 규모 같은 것에는 눈도 잘 가지 않더군요. 그런 느낌이 원동력이 되다보니 버그바운티 활동이 오래갑니다. 돈은 생각보다 강력한 동기가 되지 않습니다.”

또한 헤어우드는 매일 아침 요가로 하루를 시작한다고 한다. 이를 통해 스트레스와 심적 부담을 덜고 일(그는 버그 사냥을 ‘취미 활동’이라고 말한다)을 시작한다. “반드시 찾아내야 한다는 목적에 압박을 당하기 시작하면 일이 고통스러워집니다. 물론 아무런 목적도 없이 그냥 한 번 찔러보는 것만으로는 아무 것도 달성할 수 없지만요.”

2. 내가 좋아하는 회사, 서비스, 제품
보안 전문가로서 버그바운티 프로그램에 주기적으로 참여하는 제스 킨서(Jesse Kinser)는 “최초로 버그바운티 상금을 받았던 건 스타벅스로부터였다”고 말한다. “스타벅스라는 브랜드를 대단히 좋아하는 사람으로서, 당연히 스타벅스 시스템에 대한 관심도가 높을 수밖에 없었습니다. 그래서 스타벅스가 버그바운티를 발표했을 때 생각할 것도 없이 참여하게 되었고, 스타벅스에 대한 애착이 저의 연구 활동을 이끌었습니다. 이렇게 자기가 좋아하는 회사나 브랜드와 관련된 프로그램부터 시작하는 것이 꽤나 큰 도움이 됩니다. 돈의 액수와 상관없이 말이죠.”

킨서는 ‘풀타임’ 취약점 사냥꾼은 아니다. 낮에는 의료 건강 IT 기업인 라이프오믹(LifeOmic)의 CISO로서 근무한다. 라이프오믹 스스로는 해커원에 가입해, 해커원의 주도로 버그바운티 프로그램을 진행해본 적 있다. 당시 실무자는 CISO였던 킨서였고, 이 때의 경험을 통해 버그바운티라는 제도에 친숙해질 수 있었다. 그러면서 버그바운티의 긍정적인 면모를 실컷 경험했다.

“그러면서 기업과 해커 사이의 관계가 어떤 식으로 이뤄져야 하는지를 알게 됐습니다. 해커들은 버그를 찾아낸 것에 더해, 그 발견이 왜 중요한지를 기업에 설명할 수 있어야 합니다. 그리고 그러한 설명을 들은 기업은 해커에게 반드시 피드백을 주어야 하죠. 정말 중요하다, 아니면 이해는 하지만 우리에게 그다지 중요하지 않다는 식으로요. 그 이유를 설명해주는 것이 필수입니다. 그렇게 해야 서로가 서로에게 배울 수 있어요. 이런 대화를 할 수 있을 때 기업은 공공 버그바운티를 시도해봐도 됩니다.”

킨서는 버그바운티 헌터들에게 “문서 작업에 익숙해져야 한다”고 강조한다. “대부분의 기업들과 조직들은 양식이 갖춰진 문서를 통해 외부인과 대화를 합니다. 그게 그들의 언어라는 겁니다. 취약점의 기술 세부 사항을 있는 그대로 표현해서는 돈을 지불해줘야 하는 그들이 알아듣지를 못합니다. 자신이 애써 연구해 얻어낸 결과물을 잘 포장하는 것도 능력이죠.” 그러면서 “의외지만 약속을 어기고 해커들에게 돈을 지불하지 않는 기업들도 많다”며 “그러한 전적이 있는지 미리 조사하는 것도 은근 중요한 일”이라고 덧붙였다.

3. 유연하라
버그바운티 시장도 결국 IT 분야다. 급변한다는 소리다. 이 때문에 처음 진입하는 사람들이 혼란을 겪거나 적응을 못해 이탈한다. ‘이런 변화에 난 도저히 맞출 능력이 안 돼’라고 풀이 죽어 제대로 도전도 해보지 못하고 버그바운티를 포기한다는 것이다. 어쩌면 그런 초보 해커들에게 모자란 건 IT 기술력이 아니라 적응력일지도 모른다.

익명의 영국 출신 전문 버그 사냥꾼은 “상금을 타려는 보안 전문가에게 있어 유연성이란 얼마나 광범위한 분야에서 기술력을 발휘할 수 있느냐”라며 “예를 들어 요즘 같은 경우라면 사물인터넷과 관련된 기술과 API에 대해 알면 알수록 유연성을 발휘하기 좋다”고 설명한다. “더 재미있는 건 신기술만 아는 것도 부족하다는 겁니다. 레거시 기술과 코드도 이해하고 있는 편이 유리합니다.”

그러면서 이 사냥꾼은 노르웨이의 광고 회사인 핀노(FINN.no)에서의 버그바운티 경험을 공유했다. “총 221개의 버그가 발견됐고 총 31명의 해커들이 5만 5천 달러의 상금을 타갔습니다. 그런데 가장 상금이 컸던 치명적 취약점은 업체의 오래된 코드에서 나왔습니다. 결국 둘 다 알아야 합니다. 그리고 그것이 해커의 유연성을 좌지우지 합니다.”

이런 저런 조언들이 있지만 결국 버그바운티 프로그램 하나를 정해서 참여해보는 것 자체는 좋은 경험이 될 수 있다. 중요한 건 버그바운티 프로그램을 운영하고 있거나 최소한 취약점 신고를 받는 기업을 대상으로 해야 한다. 다짜고짜 내가 평소 좋아하는 기업이라고 해서 뚫고 들어가 취약점을 제보하다가는 철장 신세를 질 수도 있다. 취약점 발견과 제보, 수정은 여러 가지 규정의 제한을 받는다는 것을 기억하자.

글 : 세스 로젠블랏(Seth Rosenblatt), Technical Writer
[국제부 문가용 기자(globoan@boannews.com)]

<저작권자: 보안뉴스(www.boannews.com) 무단전재-재배포금지>

  •  
  • 1
  • 페이스북 보내기 트위터 보내기 네이버 밴드 보내기 카카오 스토리 보내기


  •  SNS에서도 보안뉴스를 받아보세요!! 
모니터랩 파워비즈 6개월 2020년6월22~12월 22일 까지넷앤드 파워비즈 진행 2020년1월8일 시작~2021년 1월8일까지위즈디엔에스 2018파워비즈배너 시작 11월6일 20181105-20200131
설문조사
2020년 한해 동안 가장 큰 관심을 갖고 있는 보안 분야는 무엇인가요?
인공지능(AI) 보안
비대면(언택트) 보안
데이터3법/개인정보보호
빅데이터 보안
클라우드 보안
자율주행차 보안
사물인터넷 보안
스마트시티 보안
기타(댓글로)