구글, “앞으로 10년은 오픈소스 버그바운티에 집중할 것”

버그바운티 프로그램을 10년 동안 운영해 온 구글은, 앞으로 10년은 오픈소스의 차례라고 천명했다. 그러면서 오픈소스를 활용하는 모든 조직들이 오픈소스 관리에 참여하길 바란다고 말하기도 했다. 유의미한 변화를 불러일으킬 수 있을까.

[보안뉴스 문가용 기자] 버그바운티 제도에 대한 논란이 이제는 어느 정도 가라앉고 있다. 보완할 필요가 있을지언정 버그바운티 제도 자체는 미래에도 지속되어야 한다는 것이 대세 여론이라고 봐도 무방한 수준이다. 그런 가운데 구글이 “버그바운티를 오픈소스로도 확대해야 한다”고 주장했다.

[이미지 = utoimage]

지난 주 화요일 구글은 버그바운티 운영 10주년을 기념했다. 구글의 버그바운티는 ‘취약점 보상 프로그램(Vulnerability Rewards Program, VRP)’이라고 불린다. 구글은 “10년 전 VRP를 처음 시작한 첫 날, 연구원들이 제출한 취약점 보고서는 총 25건이었다”며 “그렇게 시작한 것이 현재까지 1만 1055개로 늘어났다”고 발표했다. 또한 외부 취약점 연구자들에게 지출한 보상금은 총 2900만 달러가 넘는다고 덧붙였다.

구글 VRP 관리자인 얀 켈러(Jan Keller)는 “일반 소프트웨어 생태계에 버그바운티 제도가 안정적으로 자리를 잡기 시작했으니 이제 이것을 오픈소스 커뮤니티 쪽으로 확대시켜야 할 시기”라고 주장했다. “현재 구글 내부에서는 오픈소스의 보안 향상을 위해 버그바운티를 어떻게 활용할 것인지 연구 중에 있습니다. 솔직히 취약점이 수년 내에 동날 정도로 부족한 영역은 절대 아니라고 보고 있습니다.”

실제로 오픈소스는 현대 소프트웨어 생태계에서 꽤나 중요한 위치를 차지하고 있음에도 버그바운티라는 시장 내에서 괄시받고 있다. 물론 인터넷 버그 바운티(Internet Bug Bounty) 등 오픈소스를 대상으로 한 버그바운티 프로그램이 존재하긴 하지만 아직 규모 면에서 미약하다. 오픈소스의 강화를 위한 목소리가 보안 업계로부터 계속해서 나오기 시작한 상황에서, 구글이 오픈소스 버그바운티를 주장한 건 자연스러운 흐름이라고 볼 수 있다.

버그바운티 프로그램은 적은 비용으로 취약점을 찾아내게 해 주고, 해킹 기술을 가진 자들이 다크웹으로 들어가지 않도록 어느 정도 억제하는 기능을 가지고 있다고 알려져 있다. 하지만 운영이 쉽지 않은 것이 사실이다. 특히 연구자들에게 줄 보상금 마련이 어려운 것으로 알려져 있다. 그렇기 때문에 구글이나 MS와 같은 큰 기업들이 앞장서서 하고 있고, 애플이 얼마 전까지 ‘인색하다’는 평가를 들었던 것이다.

구글은 앞으로 10년 동안 오픈소스를 위한 버그바운티에 집중하겠다고 발표했다. 인터넷 버그 바운티와 같은 기존 플랫폼의 확대를 돕고, 추가 플랫폼을 마련하여 개발자들이 악성 코드를 모르고 사용하는 일을 줄여나갈 것이라는 계획이다. 이를 위해 이미 지원하고 있는 오픈소스 버그바운티 프로그램들에 대한 지원책을 늘리고, 버그바운티 대상이 되는 오픈소스 요소들도 증대시키겠다고 한다. “현재까지는 웹 애플리케이션과 웹 프레임워크 관련 요소들만 버그바운티의 혜택을 받았는데, 앞으로는 VLC 플레이어처럼 사용자들 사이에서 널리 사용되는 소프트웨어들도 포함시킬 예정입니다.”

그러면서 켈러는 “이것이 구글만의 사업이 되어서는 안 되며, 그렇게 되지 않기를 바란다”고 강조했다. “오픈소스는 구글이 온전히 통제할 수도 없고 그래서도 안 되는 요소입니다. 저희는 이 오픈소스 버그바운티라는 개념이 많은 기업들의 ‘공동 벤처’가 되길 바랍니다. 특히 오픈소스를 많이 사용하는 기업들이라면 여기에 꼭 참여했으면 좋겠습니다. 예를 들어 리눅스라는 오픈소스는 수도 없이 많은 시스템에 사용되고 있죠. 사용하는 만큼 같이 책임도 졌으면 합니다.”

구글은 다음 10년을 예측하며 “인공지능과 머신러닝을 활용한 코드 분석 및 취약점 탐지가 더 활성화 될 것”이라고 발표했다. 실제로 인공지능은 개발과 취약점 연구에 유의미한 도움을 주고 있다. 예를 들어 지난 7월 깃허브(GitHub)는 개발자들에게 도움을 주기 위한 자동 개발 도구인 코파일럿(Copilot)을 발표했었다. 코파일럿은 머신러닝을 기반으로 한 플랫폼으로 오픈 AI(Open AI)의 코덱스(Codex)를 기반으로 하고 있다. 개발자들이 코딩을 ‘타이핑’할 때 자동으로 완성시켜 준다.

버그바운티 플랫폼인 버그크라우드(BugCrowd) 역시 “해커의 머릿속 2020(Inside the Mind of a Hacker 2020)”이라는 보고서를 통해 “78%의 해커들이 인공지능을 통한 코드 분석 덕분에 계속해서 주도권을 쥘 수 있을 것”이라고 보고 있음을 조사해 밝힌 바 있다. 물론 아직 인공지능을 기반으로 한 자동 취약점 탐지 툴이 ‘대세’라고까지 말하기는 어려운 단계다. 이런 종류의 도구들은 현재도 계속해서 발전하는 중이다.

켈러는 “이제 버그바운티가 중요한 투자처라는 건 주요 기업들이 모두 깨닫고 있다”며 “취약점 익스플로잇을 통한 침해 공격은 하루에도 수천, 수만 번씩 일어나는 상황에서 취약점 연구를 활성화시키는 건 너무나 당연한 일”이라고 정리했다.

3줄 요약
1. 구글, 지난 10년 동안 버그바운티 운영해 총 2900만 달러 이상 지출.
2. 앞으로 10년 동안은 오픈소스를 대상으로 한 버그바운티에 집중할 것이라고 함.
3. 오픈소스 관리에 모든 기업들이 참여하기를 바란다고 함.
[국제부 문가용 기자(globoan@boannews.com)]

내년 회사에 꼭 도입하고 싶은 보안 솔루션 또는 플랫폼은 무엇인가요?
	XDR
	EDR
	AI 보안
	제로트러스트
	공급망 보안 체계(SBOM)
	클라우드 보안 솔루션
	기타(댓글로)