[디지털데일리 오병훈기자] 상대방을 이해하는 가장 확실한 방법 중 하나는 바로 상대방 입장이 되어 보는 것이다. 보안 시장에서도 이같은 원리는 똑같이 적용된다. 해킹을 확실하게 막기 위해서는 직접 해커 입장이 돼보고 취약점 찾아 분석·보강하는 것이다.

10일 김동옥 한국과학기술원(KIST) 연구원은 ‘삼성 보안기술 포럼(SSTF)2024’에서 ‘버그 바운티 프로그램(이하 바운티프로그램)’ 동향 및 연구 성과를 발표하며 “(바운티프로그램을 통해) 기존 취약점이나 유사한 연관 취약점을 발견함으로써 안정적인 보안을 도모할 수 있다”고 강조했다.

바운티프로그램은 기업이나 기관이 시스템 취약점을 찾기 위해 화이트해커들을 대상으로 개최하는 공모전과 같은 프로젝트다. 바운티프로그램을 운영하는 기업은 화이트해커들로부터 다양한 보안책을 제시받게 된다. 그 과정에서 실질적으로 보안에 도움을 준 해커들에게는 현상금 개념 보상금을 지급한다. 보상금은 취약점 난이도에 따라 1만달러(한화 약 1343만원)부터 13만달러(한화 약 1억 7467만원)까지 다양한다.

김 연구원은 “최근 구글 등 빅테크 기업에서는 익스플로잇(공격 명령) 기법이 고도화 됨에 따라 다양한 바운티프로그램을 통해 익스플로잇을 방해 하는 것에 이어서 익스플로잇 성립 자체를 막는 방법을 찾는데 집중하고 있다”며 “제로데이(시스템 취약점을 분석한 공격) 뿐 아니라 원데이(보안 패치가 출시됐음에도 이를 적용하지 않아 생기는 취약점을 활용한 공격)에 대한 관심도도 높아지고 있는 추세”라고 분석했다.

이어 “구글에 따르면 지난 2022년 구글 클라우드 대상 공격 중 37.8% 원데이 취약점을 활용했다”며 “50% 넘는 기관이 보안 패치 배포 후 72시간 내 적용 못하고 있다는 통계가 있으며, 30일 넘어서 까지 방치되는 경우가 있다고 한다. 이들은 모두 원데이 및 올데이 공격 대상이 된다”고 전했다.

김 연구원 분석에 따르면, 기업들은 최근 바운티프로그램에서 분석 대상을 점차 넓히는 추세다. 문제로 지목된 공격 하나만 분석하는 과제보다는 이와 연관된 다양한 형태 공격도 함께 분석하는 과제를 내고 있다는 것이다. 생성형 AI 등장으로 해킹 기법이 다양해지면서, 이를 막기 위한 대응책으로서 바운티프로그램이 적극 활용되고 있다는 설명이다.

함께 무대에 오른 이해인 KIST 연구원은 바운티프로그램 연구 성과를 발표했다. 통상적으로 취약점 악용은 ▲취약점 식별 ▲공격을 위한 개발 ▲최종 익스플로잇 수행으로 크게 3단계로 나눠진다. 고전적인 바운티 프로그램은 1단계인 취약점 식별 및 제거에 초점을 맞추고 있는데, 이 연구원이 참여한 바운티프로그램에서는 2단계와 3단계를 중점 과제로 삼아 취약점 뿐 아니라 위약점이 익스플로잇으로 연결되는 고리 자체를 끊어버리는 것에 집중했다는 설명이다.

이 연구원은 “연구실에서는 화이트해커 입장에서 해킹에 사용된 기술이나 접근 방법들을 과학적 방법론으로 이해하고 적용할 수 있는 연구를 수행하고 있다”며 “크롬 대상 익스플로잇 바운티프로그램에 참여했는데, 관련 익스플로잇 보고서를 제출해 리워드로 1만6000달러를 획득할 수 있었다”고 말했다.