보안 취약점 신고포상제, 버그 바운티(Bug Bounty) 군 적용방안
기자 : 관리자 날짜 : 2022-06-03 (금) 15:51




한국인터넷진흥원(이하 KISA)에서 CVE1) 자 료를 분석한 결과에 따르면 매년 신규 취약점 건 수는 증가하고 있으며 2021년은 총 20,142건으 로 전년 대비 약 10% 증가한 것으로 나타났다. 이는 코로나19 사태로 급속화 된 디지털 대전환, 메타버스ㆍNFTㆍAI 등 신기술 등의 영향이 큰 것으로 분석하고 있다. 사이버위협의 주요 요인인 보안취약점은 무엇 보다 신속하게 발견되어 조치하는 것이 매우 중 요하며 이러한 보안취약점에 대응하는 가장 좋은 1) CVE(Common Vulnerabilities and Exposures) : 공개 적으로 알려진 컴퓨터 보안 결함 목록 수단 가운데 하나인 버그 바운티(Bug Bounty) 프 로그램은 하드웨어, 소프트웨어, 웹 서비스 등 지 정된 프로그램의 보안취약점을 찾아낸 사람에게 취약점의 파급도에 따라 포상금을 지급하는 제도 로서 이를 통해 취약점을 찾아내는 보안전문가는 개인 역량과 인지도가 상승함과 동시에 포상금으 로 금전적 이득을 얻을 수 있으며, 버그 바운티에 참여하는 기업의 경우 보안취약점 패치로 인해 보안 위협에 신속히 대응할 수 있고, 정보보호 비 용 예산을 절감하는 동시에 소프트웨어 및 서비 스 품질을 향상시킬 수 있다. 따라서 본고에서는 버그 바운티 제도와 최근KISA에서 서비스를 개시한 ‘사이버보안 취약점 정보포털’에 대해 소개하고 軍 도입방안에 대해 알아보고자 한다. 1. 취약점 대응에 가장 좋은 수단, 버그 바운티 구글, MS, 페이스북, 삼성, 네이버 등 주요 글 로벌 기업은 자사 제품 및 서비스의 취약점 발 굴, 보안 강화를 위해 버그 바운티를 운영 중이 다. 또한 소프트웨어 외에 온라인 서비스에도 버 그 바운티를 도입하는 기업이 증가하고 있으나 대부분의 국내 기업들은 취약점을 제보하면 기 업에 대한 간섭으로 인식하거나 공격행위로 간 주, 자사 이미지 실추 등의 이유로 제도 도입에 소극적인 실태이다. 하지만 버그 바운티를 활용한다면 조직 내부 적으로 보안인력을 통해 점검하는 ‘모의점검’대 비 심각도가 높은 취약점을 발견하는데 7배 이 상 도움이 된다는 분석 결과가 있다. 모의점검 과 버그 바운티의 장ㆍ단점을 비교는 아래와 같 으며, 버그 바운티는 모의 점검과 병행되는 것이 가장 효율적이다. 2. 보안취약점 신고포상제 제도 각 기업에서 버그 바운티를 운영하려면 어떻 게 해야 할까? 먼저 버그 바운티를 허용하는 대 상 범위 또는 제품을 선정해야 한다. 이어 예산 과 취약점별로 포상기준을 마련할 필요가 있다. 또한, 취약점을 신고받는 웹페이지를 운영하는 등 취약점 입수체계를 구축하고, 신고된 취약점 을 검증하고 평가하며 예산 지급을 진행할 역할 을 분담해야 한다. 그러나 기업이 자체적으로 버그 바운티를 운영 하는 데 어려움을 느낀다면 KISA가 진행하는 보 안취약점 신고포상제에 공동운영사로 참여할 수 있다. 자사 소프트웨어 또는 서비스를 취약점 발 굴 대상으로 제공하거나 포상금을 신고자에게 직 접 지급함으로써 취약점에 대한 책임 있는 역할을 수행할 수 있는 공동운영사는 자체 버그 바운티의 단계적 도입을 위한 지원방안으로 활용할 수 있 고, 보안취약점을 빨리 알아내고 신속히 조치함으 로써 보안사고 예방에도 큰 효과를 거둘 수 있다. 현재 KISA의 보안취약점 신고포상제에 공동 운영사로 참여하고 있는 기업은 총 21곳으로 2014년 한글과컴퓨터를 시작으로 네이버, 카카 오, LG전자 등이 참여하고 있으며 2021년에는 삼성SDS와 현대차, 기아차가 협약을 맺었다. 이 가운데 네이버는 2019년 3분기부터 공동운영사 의 독립 자체 운영 방식을 취하고 있으며, 카카 오도 독립 운영을 준비 중인 것으로 알려졌다. 이 제도는 국내에서 사용 중인 소프트웨어를 대상으로 분기별 우수 취약점을 선정해 평가 결 과에 따라 최대 1,000만 원의 포상금을 지급하 는 제도로, 국내외에 거주하는 한국인을 참가대 상으로 하고 있으며, 분기별 평가를 실시해 각각 포상금을 지급하고 있다. 주의할 점은 실제 서비스 중인 웹사이트나 시 스템(서버, 네트워크, 보안장비 등)에 정보통신 서비스 제공자의 동의를 받지 않고 정당한 접근 권한 없이 또는 허용된 접근 권한을 넘어 취약점 을 발굴하는 행위는 정보통신망 침입행위로 간 주될 수 있으므로 평가 및 포상대상에서 제외됨 은 물론, 법에 따라 처벌받을 수 있다. 이에 따 라 KISA는 한시적으로 참여 기업의 필요한 제 품 또는 서비스를 선정해 취약점 발굴을 허용하 고 포상금을 지급하는 ‘핵 더 챌린지(Hack The Challenge)’제도를 2018년부터 운영 중이다. 이 제도는 웹사이트 등 실제 운영 중인 서비스의 경 우 사전에 대상과 시기를 정하여 한시적으로 취 약점 발굴을 허용하는 제도이다. 핵 더 챌린지는 2018년에는 KISA가 단독으로 진행했지만, 2021년에는 8개 기업이 참가하는 등 개방형 보안취약점 분석 플랫폼을 도입해 참여 기 관과 분야가 점차 확대되는 추세다. 개방형 보안 취약점 분석 플랫폼은 클라우드 형태의 서버를 제 공해 분석 대상 소프트웨어 및 서비스를 사전 설치한 후 보안전문가에게 개방하는 형태로, 보안전 문가는 취약점 분석 환경이 구성된 가상 환경에 접근해 취약점 분석을 진행하는 방식이다. 주의할 점은 실제 서비스 중인 웹사이트나 시 스템(서버, 네트워크, 보안장비 등)에 정보통신 서비스 제공자의 동의를 받지 않고 정당한 접근 권한 없이 또는 허용된 접근 권한을 넘어 취약점 을 발굴하는 행위는 정보통신망 침입행위로 간 주될 수 있으므로 평가 및 포상대상에서 제외됨 은 물론, 법에 따라 처벌받을 수 있다. 3. ‘사이버보안 취약점 정보포털’서비스 개시 국가 차원에서 국내·외 보안취약점을 체계적 으로 수집·관리하고 수집된 정보를 다양한 이용 자가 편리하게 확인·개선할 수 있도록 하는 ‘사 이버보안 취약점 정보포털’서비스를 KISA에서 2022년 3월 24일부터 본격 개시하였다. 공개된 다양한 보안취약점 정보와 함께 제조사에서 배 포하는 패치 정보 등 20만여 건의 취약점 정보를 포털에서 한데 모아 제공하는 환경을 구축하여 이용자들이 편리하게 취약점 정보를 활용하고 조치할 수 있도록 하고 있다. 또한, 사이버위협정보 공유채널(C-TAS)을 가 입ㆍ활용하는 기업은 악성코드 등 위협정보, 최 신 동향과 더불어 취약점 정보포털에서 제공하 는 상세 취약점 분석정보도 실시간 공유할 수 있 게 되어 사이버위협에 대한 민간의 대응역량을 강화할 수 있을 것으로 기대된다. 지금까지 버그 바운티의 제도 소개와 최근 서 비스를 개시한 사이버보안 취약점 정보포털에 대해 알아보았다. 버그 바운티 제도는 해외에 비 하면 국내 참여 기업은 물론 포상 규모도 적은 편이지만 지난 몇 년간 버그 바운티에 대한 사회 적 관심이 높아지고 있으며 참여 기업도 점점 증 가하고 있으나 버그 바운티 참여 확대방안에 대 해 고민해야 할 시점이다. 4. 軍 내 버그 바운티 적용방안 우리 軍은 취약점 식별 및 조치를 위해 정보체 계에 대한 취약점 분석ㆍ평가, 사이버 기관평가, 사이버 모의훈련 등 다양한 제도를 운용하고 있 다. 하지만 이 제도는 소수의 체계와 특정 부대만 을 대상으로 실시하여 식별되지 않는 취약점이 존 재할 수 있다. 따라서 이제 軍도 버그 바운티를 적 용하여 기존 제도와 병행할 필요가 있다고 본다. 적용방안을 제시한다면 내부망(인트라넷)과 외부망(인터넷망)을 각각‘취약점 신고 사이트(가 칭)’을 개설하여 내부망에서는 軍에서 운용중인 체계를 대상으로 군 내부 근무자들이 신고자 역 할을 수행하고 외부망에서는 軍 인터넷 홈페이 지를 대상으로 민간인이 신고자 역할을 수행하 여 취약점을 식별한다. 식별된 취약점은 취약점 신고 사이트에 게시하면 담당부서에서 해당 취 약점을 검증 및 조치하고 분기별로 우수 제안자 에 대해서 상금 및 포상을 한다. 이를 통해 취약 점에 대한 부정적인 인식 변화와 이러한 능동적 인 대응조치가 가능할 것이다. 무엇보다 취약점 조기식별 통해 사이버위협을 사전에 차단하여 軍의 보안을 한층 더 높일 수 있는 계기가 되리 라 판단된다


 

 

본사 : 서울시 종로구 사직로 96파크뷰타워 208호 (사)21c안보전략연구원

인터넷신문등록번호 : 서울아 02284 / 발행인 : 박정하

정기간행물등록번호 :서울라10600 / 대표전화 : 02-6953-0031, 02-2278-5846
팩스 : 02-6953-0042, 02-784-2186 / 청소년보호책임자 : 박정하

군사저널소개 | 이용약관 | 개인정보취급방침 | 이메일무단수집거부 | 새소식

Copyright ⓒ군사저널. All rights reserved.