작은 메모장
버그 헌팅이란? 본문
버그 바운티
버그 헌팅, 혹은 버그 바운티은 Bug(취약점)을 찾고 Bounty(포상금)을 받는 프로그램이다.
즉 취약점 현상금 제도라고 생각하면 된다.
버그 바운티는 대개 다음과 같은 과정을 거친다
- 기업들이 자신들의 시스템들을 버그바운티 대상으로 올림
- 올려진 시스템을 해커, 보안 전문가들이 해킹
- 만약 해킹에 성공하여 취약점이 발견되면, 발견된 취약점을 가지고 보고서를 제출(단, 해당 취약점은 절대 개인적인 이익으로 사용하지 않음)
- 제출된 보고서의 취약점을 바탕으로, 보안 패치 적용
해당 과정을 보면 알겠지만, 버그 바운티의 목적은 단순히 해커들 돈주려고 하는 것이 아닌, 자신들의 시스템에 미처 발견하지 못한 치명적인(대개 공격으로 활용될 수 있는) 취약점들을 발견하는 것이다.
다만 그 동기 부여를 위해, 현상금 제도처럼 포상을 주는 것으로 이해하면 된다.
또, 단순히 취약점을 발견했다고 동일한 금액을 주는 것은 아니다.
그 위험도와 심각성에 따라서 가격이 천차만별이며, 당장이라도 조치가 필요한 취약점의 경우에는 수천만원을 호가하기도 한다. 다만 기업별로 포상금 가격이 제각각이며, 이걸보고 이 기업이 어떤 취약점을 민감해하는지 알 수 있다.
버그 바운티와 모의해킹
기업들은 연간 2회정도 돈을 써가면서 모의해킹 과정을 통해 검사를 받는다.
여기서 이상한 점은, 버그바운티를 실시하고 있는 곳에서도 모의해킹 검사를 받는데, 왜 비슷한 과정을 2번이나 실시해서 2중 지출을 하는 것일까?
결론적으로 말하면, 모의해킹의 단점을 버그 바운티로 해결할 수 있기 때문이다.
모의해킹은 연간 2회정도 수행되며, 프로젝트 기간이 정해져있기 때문에 탐색 시간이 널널하지 않다.
또한, 모의해킹은 정해져있는 취약점 가이드라인에 따라 해킹을 진행하기 때문에, 다양한 관점에서의 취약점을 발견하지 못할 수도 있다.
아울러, 모의해킹은 정해진 소수의 인원이 해킹을 진행하기 때문에, 해킹을 진행하는 관점이 상당히 제한된다.
이에 반해 버그바운티는 수많은 사람들이 충분한 기간동안 취약점을 탐색하는 과정(Crowd Security Test)이다.
단순 참여 기간에 따라 돈을 주는것이 아닌, 취약점의 위험도에 따라서 돈을 주기 때문에 회사 입장에서는 비용을 줄일 수 있다는 장점이 있다.
또한, 수많은 사람들이 참여하기 때문에 다양한 관점으로 취약점을 발견할 수 있다.
하지만, 버그바운티와 모의해킹 양쪽에 단점이 각각 존재하기 때문에, 기업 입장에서는 모의해킹과 버그 바운티 두 가지를 적절히 사용해 보안 향상을 꾀하는 것이다.
버그와 취약점
버그와 취약점은 확실하게 다른 개념이다.
버그(Bug)는 설계자의 사용자 행동 예측을 벗어나서 생긴 일종의 오류로, 정해져 있는 행동 패턴을 벗어나 시스템에 오류/다른 영역에 접근할 수 있는 것이다.
취약점(Vulnerability)은 이 버그들 가운데, 악의적인 목적으로 사용될 수 있는 것을 취약점이라고 한다. 즉, 버그를 수행할 시 시스템에 치명적인 영향을 끼칠 수 있는 버그가 취약점이다.
버그 바운티의 역사
초기의 버그 바운티는 취약점에 대해서 생소하던 시절이었다.
오히려 취약점을 신고하면 경찰에 고발하는 경우도 있다고 한다.
당연하게도 이는 보안 역량 하락으로 이어지고, 해킹 사고도 늘어나기 시작했으며,
이에 기업에서는 이 취약점을 사전에 제거하고자 여러 방면의 아이디어를 내기 시작했다.
통상적인 방법으로 기업에서 보안 전문가를 데려다가 자사의 서비스를 지속적으로 점검(모의해킹)했다.
이럼에도 사고가 끊이지 않자, 아얘 보안 컨설팅 회사까지 등장하여 모의해킹이 대중화되기 시작했다.
그럼에도, 이 방식은 한계가 있었다. 해킹방식이 너무 다양했기 때문이다.
버그 바운티의 첫 시작은 Netscape에서 첫 발을 딛었다.
당시 Netscape는 새 버전의 웹 브라우저를 정말 다양한 사람에게 검증받고 싶어했다.
이에 돈을 주고 취약점을 찾아낸다는 버그 바운티를 기획하여 프로젝트를 출시했으나, 당시 사람들의 관심이 저조하여 실패로 끝났고, 7년 가량 버그 바운티는 감감 무소식이었다.
그러나 2010 ~ 2011년, 구글, 페이스북 거대 IT 회사가 버그 바운티를 다시 실시했으며, 이에 수많은 사람들이 참여했고 이는 성공적으로 마무리되었다. 이 경과를 보고 많은 기업들이 버그 바운티를 실시하기를 원했고, 버그 바운티 플랫폼까지 생겨났다.
'KISA 사이버 보안 훈련 > 버그헌팅 실습 중급' 카테고리의 다른 글
Bug Bounty 사례 (0) | 2024.07.14 |
---|---|
Metasploit (0) | 2024.07.13 |
보안 기술 우회 (0) | 2024.07.12 |
어플리케이션 보안 이해 (0) | 2024.07.11 |
향상된 타겟 정보 수집 (0) | 2024.07.01 |