기자칼럼

[취재수첩] 버그바운티

최민지

[디지털데일리 최민지기자] 국내 한 해커가 보안 취약점을 찾더라도 그 기업에게 직접 개인적으로 알리는 일은 이제 하지 않겠다는 말을 넌지시 건넨 바 있다. 우스갯소리처럼 포장돼 있었지만, 사실 가시가 숨어있는 언급이었다.

합당한 대가도 없는, 말 뿐인 감사함은 됐다는 뜻이다. 사실, 알려지지 않은 심각한 보안취약점을 불법적으로 블랙마켓에서 거래하면 수천만원에서 수십억원에 이르기까지 상당한 금액을 손에 쥘 수 있다.

아직 소신을 지키며 음지에 눈을 돌리지 않는 착한 해커들도 상당수 있지만, 이들을 고민에 빠트리게 할 수 있는 요소 중 하나는 돈이다. 애써 발견한 취약점을 알려줬는데 돌아오는 것은 말 한마디, 소액의 상금뿐이다. 사람이라면 누구나 “눈 한 번 꼭 감고 다른 곳에 팔면 수천만원은 벌 수 있는데…”라는 생각을 하기 마련이다.

내가 가진 정보를 A와 B가 구입하겠다고 손을 들었는데 A는 50만원을, B는 5000만원을 불렀다. 당연히 이익으로만 보면 B에게 정보를 팔아야 하지만, 구매자가 이 정보를 악용해 국가나 기업에 해를 입힐 수 있기 때문에 참는 것이다. B는 1억원을, 10억원을, 그 이상을 부를 수도 있다. 필요에 따라 더 큰 금액도 지불할 용의가 있는 악의적 그룹들은 전세계에 너무나 많다.

버그바운티 제도가 활성화돼야 하는 이유가 여기에 있다. 버그바운티는 보안전문가인 해커가 특정 소프트웨어나 애플리케이션에 존재하는 알려지지 않은 보안 취약점을 악의적인 목적으로 사용되기 전 해당 기업에 정보를 제공해 금전적 보상과 명예를 받는 대회다. 제로데이 취약점이 악의적인 목적으로 사용되거나 다크웹 등 블랙마켓에서 판매되지 않도록 하기 위해 가장 필요한 제도로 꼽힌다.

삼성전자, 구글, MS, 페이스북 등 쟁쟁한 기업들 모두 버그바운티 제도를 운영하고 있다. 해킹보안컨퍼런스 등에서도 부대행사로 버그바운티를 열기도 한다. 이정훈 해커는 지난해 ‘PWNFEST 2016’을 통해 3억원이 넘는 상금을 획득했다.

이번에 안랩은 버그바운티 대회에서 백신 V3 원격조정 취약점을 발견한 박서빈 하임시큐리티 선임 연구원에게 한화로 1000만원이 넘는 1만달러를 제공했다. 아직 악용사례는 없지만, 만약 악의적인 해커가 사용했다 가정하면 최고 시스템 권한을 얻어 사용자 PC 내 각종 파일을 다운로드 업로드하고 카메라를 제어해 사생활까지 침해할 수 있다. V3를 사용하는 모든 이용자로 확대된다면 그야말로 전국민적 심각한 피해다.

국내에서도 한국인터넷진흥원(KISA)에서 몇몇 기업들과 버그바운티 제도를 실시하고 있다. 하지만 해커들은 비현실적으로 낮은 금액이라 입을 모아 말한다.

사실, 가장 좋은 방법은 기업들 자체적으로 예산을 쏟아 버그바운티를 운영하는 것이다. 합당한 금액을 지불할 경우, 스스로 찾아내지 못한 취약점 정보를 외부로부터 얻어 보안을 강화할 수 있다. 기업 입장에서는 관련 조직을 구성하고 예산을 또 다시 편성해야 한다는 부담이 있겠지만, 온 몸에 병이 퍼지고 나서야 후회하는 것보다야 낫다.

<최민지 기자>cmj@ddaily.co.kr

최민지
cmj@ddaily.co.kr
기자의 전체기사 보기 기자의 전체기사 보기
디지털데일리가 직접 편집한 뉴스 채널