Getting Started


버그바운티에 대해 알아보세요.

버그바운티란?

버그바운티(Bug Bounty)란 취약점 보상 프로그램(VRP:Vulnerability Reward Program)이라고도 하며, 기업의 서비스, 소프트웨어나 IT 인프라를 해킹하고 보안 취약점을 발견하여 최초로 신고한 보안 연구원에게 포상금이나 기타 다른 보상을 지급하는 크라우드소싱(crowdsourced) 기반의 침투 테스트 프로그램입니다.

버그바운티 프로그램에는 일반적으로 신고된 취약점에 대한 보상을 받기 위해 보안연구원이 지켜야 할 규칙이 있습니다. 이 규칙에는 대표적으로 책임있는 공개 정책이 있으며, 그 밖에 테스트할 대상, 보안연구원이 대상 시스템에 해서는 안되는 행위 등을 규정하고 있습니다.

기업이 버그바운티 제도를 활용하면 윤리적인 해커 집단과 협력하여 악의적인 해커가 취약점을 악용하기 이전에 선제적으로 취약점을 패치할 수 있습니다. 해외의 구글, 페이스북, 마이크로소프트, 애플 등의 대기업은 독자적인 프로그램을 운영하고 있으며, 그 밖의 중소기업들은 HackerOne, Bugcrowd 등과 같은 버그바운티 플랫폼을 통해 운영하고 있기도 합니다. 국내의 경우, 자체적으로 운영하는 네이버, 리디북스 등을 비롯해 한국인터넷진흥원이 주관하는 'S/W 보안취약점 신고포상제'를 통해 버그바운티를 도입하는 회사들이 일부 생겨나고 있긴 하지만, 대부분의 기업들은 취약점의 존재를 인정하는 것에 대한 부정적 인식과 취약점을 제보한 연구원을 상대로 위협을 하거나 법적 절차를 밟는 등의 사례로 인해 전반적으로 아직 활성화되지 못하고 있는 실정입니다.

버그바운티 프로그램의 장,단점

버그바운티의 장,단점을 설명하기 앞서 여러분들이 알아야 할 것은 버그바운티는 기존의 전통적인 모의침투테스트를 완전히 대체할 수 있는 새롭고 혁신적인 테스트 방식이 아니라는 사실입니다. 버그바운티는 기존의 모의침투테스트에서 커버할 수 없는 부분을 보완할 수 있는 보안을 위한 또 하나의 테스트 방식이며 버그바운티와 모의침투테스트는 상호 보완의 관계에 있다고 보시는 것이 좋습니다. 일반적으로 버그바운티의 장,단점은 다음과 같습니다.

장점

  • 전 세계의 보안 연구원(집단지성)이 참여할 수 있으므로 기업의 인력으로만 버그를 찾는 것 보다 더 다양하고 많은 버그를 찾아낼 수 있습니다.

  • 유효한 버그로 인정된 경우에만 보상을 하는 결과 중심의 테스트 방식이므로, 버그당 보상 비용 설정을 잘 하고 테스트 대상의 보안 수준이 왠만큼 안전한 수준이라면 기존 투입 인원수와 투입 기간으로 비용이 산정되는 전통적인 모의침투 테스트에 비해 비용 효율적입니다.

  • 보안 연구원 집단에 의해 지속적인 테스트가 이루어지므로 버그가 악용되기 이전에 버그를 식별하고 패치할 수 있습니다.

단점

  • 기업으로 보고되는 수많은 보고서를 관리, 검토, 대응하기 위해 추가적인 자원(시간과 인력 등)이 필요할 수 있습니다.

  • 불필요한 트래픽 등으로 인해 네트워크나 시스템에 부하가 발생할 수 있으며, 선의의 테스트와 악의적인 공격을 구분하기가 애매할 수 있습니다.

  • 때론 보상에 만족하지 못한 보안 연구원이 버그를 블랙마켓에서 판매하거나 악용하여 법적 공방이 발생할 수 있습니다.


버그바운티 프로그램의 유형

버그바운티 프로그램은 보안 연구원의 참여 방식에 따라 공개(Public) 프로그램과 비공개(Private) 프로그램 두 가지 유형으로 분류됩니다.

  • 공개(Public) 프로그램

    공개 프로그램은 원하는 사람이면 누구나 참여할 수 있도록 완전히 공개된 프로그램입니다. 따라서 보안 연구원간 경쟁이 치열합니다.

  • 비공개(Private) 프로그램

    공개 프로그램과 달리 소수의 선정된 보안 연구원만이 참여할 수 있는 프로그램이며, 보안 연구원의 기술 수준과 실적 등 프로그램마다의 특정 요건을 충족하는 연구원을 초대합니다. 통상적으로 테스트할 애플리케이션에서 사용된 기술에 숙련된 연구원이 선택되어집니다. 소수의 연구원만 참여하므로 공개 프로그램에 비해 경쟁이 덜하고 버그를 찾을 가능성이 커집니다. 이 비공개 프로그램을 어느 정도 운영하다가 보안 수준이 상당한 수준에 도달했다고 판단되면 공개 프로그램으로 전환되기도 합니다. 실적이 좋고 모범적인 연구원에게만 접근 권한이 주어지므로 프로그램에 참여하고 싶다면 연구원은 버그바운티 플랫폼에서 착실히 본인의 실적을 쌓고 이미지를 잘 관리해야 합니다.