구글 새로운 버그바운티 발표, 그런데 경쟁사만 어부지리?
boannews.com영국 런던에서 진행 중인 블랙햇 모바일 보안 서밋에서 공표
오히려 HTC, LG, 삼성 등과 같은 경쟁사의 호재가 될 수도?
[보안뉴스 주소형] 구글이 새로운 버그바운티를 발표했다. 현재 영국 런던에서는 블랙햇 모바일 보안 서밋(Black Hat’s Mobile Security Summit)이 한창인데 그 자리에서 구글은 최고 8,000달러까지 지급하는 안드로이드용 버그바운티를 시작한다고 대대적으로 공표한 것.
그런데 이 같은 구글의 행보에 대해 실질적인 혜택을 누리고 있는 곳은 따로 있다는 목소리가 나오고 있다. 오히려 HTC, LG, 삼성 등과 같은 경쟁사들의 호재로 작용하고 있다는 것. 어차피 스마트폰이라는 것이 모두 비슷한 생태계 안에 있는 것이기 때문에 구글만 비용을 투자하고 나머지는 따라서 공짜로 수정하고 있다는 논리다.
일단 이번 버그바운티의 범위는 구글의 넥서스(Nexus) 6 및 9 버전의 모바일기기 및 태블릿에 영향을 미치는 취약점을 발견하는 것이며, 패치까지 함께 내놓으면 상금은 훌쩍 뛴다. 예전에 판매되었던 기기들의 취약점이 아니라 현재 매장에서 구매가 가능한 기기들에 한해서라고 강조했다. 보다 세부적인 버그바운티 내용은 여기를 클릭하면 연결된다. 이는 구글이 해당 버그바운티를 정리해놓은 공식 구글 페이지다.
한편 2010년부터 버그바운티를 처음 시작한 구글은 이때까지 총 400만 달러 이상을 버그바운티 보상금으로 사용한 것으로 알려졌다.
[국제부 주소형 기자(sochu@boannews.com)]
링크드인의 비공개 버그바운티, 어쩔 수 없는 선택
세계 보안인들이 작정하고 찾기에 나서면 잃는 게 더 많다는 입장
해킹기술이 날로 진화하고 있어 이를 커버하기에 한계 있다는 지적도
[보안뉴스 주소형] 글로벌 소셜네트워크인 링크드인(Linkedin)이 기존에 진행해오던 비공개 버그바운티 체제를 유지키로 했다고 현지시간으로 6월 17일에 발표했다. 버그바운티 시스템을 계속해서 암암리로 진행하는 표면적인 배경은 리스크 최소화다. 전 세계 보안 능력자들이 버그바운티를 위해 눈에 불을 켜고 취약점을 찾기 시작하면, 파생되는 리스크가 더 큰 것으로 보인다는 것. 발표공문은 여기를 클릭하면 연결된다.
“우리가 비공개 버그바운티 시스템을 고수하고 있는 데는 이유가 있다. 업계에서 공개적으로 진행되고 있는 버그바운티 중에 인기가 높은 버그바운티를 살펴보니 70% 이상이 잡음이 나오고 있는 것으로 조사됐다. 검증되지 않은 사람이 건넨 취약점에 대해 그것이 전부인지 여부의 신뢰에 대한 판단도 어려워보였기 때문이다.” 링크드인의 정보보안 책임자인 코리 스캇(Cory Scott)의 부연 설명이다.
일각에서는 해킹 기술 및 공격이 날이 갈수록 진화하고 있어 이를 커버하기에 비공개 버그바운티 제도로는 한계가 있다는 지적도 나오고 있다. 이에 과연 이러한 비공개 버그바운티로 인해 얻는 것이 많은지 잃는 것이 많은지에 대한 논란이 한창이다.
[국제부 주소형 기자(sochu@boannews.com)]
국내 버그바운티 운영통계 살펴봤더니...아직은 ‘걸음마’
[보안뉴스 김경애] 웹서비스 또는 소프트웨어의 취약점을 찾아낸 사람에게 포상금을 지급하는 제도인 버그바운티(Bug Bounty).
각종 해킹 및 보안기술을 보유하고 보안전문가로 활동하고 있는 이들에겐 개인의 역량을 높이고 인지도를 상승시키는 역할 뿐만 아니라 실질적인 포상을 받을 수 있는 이점이 있다. 기업의 경우는 버그바운티를 통해 취약점을 업데이트할 수 있어 보안위협에 대응할 수 있고, 비용 절감과 함께 SW품질을 향상시킬 수 있는 부수적인 효과도 얻을 수 있다.
해외의 경우 구글, 이베이, 마이크로소프트, 드롭박스, 어베스트, 레드햇, 페이스북, 모질라 등이 버그바운티를 운영하고 있으며, 국내는 공공기관 가운데서도는 한국인터넷진흥원(KISA)이, 민간기업의 경우 삼성전자, 한글과컴퓨터 등에서 버그바운티를 운영하고 있다.
KISA의 경우 출현도 25%, 영향도 30%, 공격효과성 30%, 발굴수준 15% 평가기준으로 버그바운티 제도를 운영 중이다.
KISA가 집계한 버그바운티 운영통계를 살펴보면 월간 평균 14개로 2014년 액티브X취약점 신고 110건을 포함하면 총 519건의 취약점을 발견했으며, 취약점 평가를 거쳐 총 310건의 취약점에 총 3억 2,605만원이 지급된 것으로 알려졌다.
취약점 분야는 PC가 58%로 가장 많은 비율을 차지했으며, CMS 18%, 서비스 14%, 서버 3.7%, 디바이스 3.3% 순으로 집계됐다.
PC 취약점 중에는 액티브X가 63.5%로 가장 높은 비율을 차지했으며, 문서편집이 21.3%, 멀티미디어 6.6% 순으로 나타났다.
이와 관련 한국인터넷진흥원 박정환 팀장은 “공유기, CCTV 등 IoT 취약점이 증가하는 추세이며, 향후 IoT 관련 취약점 신고가 많아질 것으로 예상된다”고 밝혔다.
하지만 버그바운티, 즉 취약점 신고포상제가 활성화되기 위해서는 미흡한 점이 적지 않다는 지적이다. 첫째로 해외에 비해 포상금액 액수가 너무 적게 책정돼 있는 실정이다. 최근 MS에서 진행한 버그바운티에서 국내 보안전문가 이정훈 씨는 2억원대의 포상금을 받은 것으로 알려졌다. 하지만 한국인터넷진흥원의 경우 한정된 예산으로 진행되다 보니 포상금액이 30만원에서 최고 500만원 수준이다.
버그 바운티 활성화 방안과 관련해 박 팀장은 “취약점 신고포상제의 운영 및 참여 매뉴얼이 개발·배포되어야 하며, 신고포상제 참여기업 대상에겐 인센티브 제공 등이 확대되어야 한다”고 제시했다.
이어 그는 “민간합동조사단 중 취약점 분과에서 활동 중인 정보보안 전문가를 적극 활용해야 한다”며 “7일 이내 SW 제조사가 조치계획을 접수하고, 2개월 이내 SW 제조사가 보안패치를 개발하며, 정책 미준수시 해당 SW취약점 제조사를 공개하는 7-2-1 정책을 확립하는 것도 취약점 대응을 강화할 수 있는 방법”이라고 강조했다.
또 다른 문제점은 취약점 포상제가 어린 학생들의 경쟁 또는 영웅심리를 자극해 불법적인 행위가 빈번하게 발생할 수 있다는 점이다. 정보보안을 공부하는 어린 학생등이 합법인지 불법인지 모르거나 혹은 알면서도 SQL 인젝션, XSS 등 불법적인 방법으로 취약점 신고를 하는 경우가 지금보다 훨씬 늘어날 수 있다는 우려다.
이와 관련 박 팀장은 “이에 대해 정통망법에서 언급이 되고 있긴 하지만, 조금 더 구체화해 정리될 필요가 있다”며 “교수, 기업 보안담당자, 보안전문가들과의 자문회의 등을 통해 활성화 방안에 대한 구체적인 의견을 수렴한 후, 정부와 협의할 계획”이라고 말했다. 이를 바탕으로 내용이 정리되면 합법적인 범위 내에서 버그바운티에 참여할 수 있도록 안내서를 제공할 수 있을 것이라고 덧붙였다.
이외에 국내에서 열리는 해킹방어대회에서 기업들이 참여할 수 있는 이벤트 성격의 버그바운티 대회를 운영하는 방안도 추진 중이다. 실제 올해 개최되는 Secuinside 2015에서 버그바운티 대회가 열릴 것으로 알려졌다.
[김경애 기자(boan3@boannews.com)]