본문 바로가기

보안칼럼

이스트시큐리티 보안 전문가의 전문 보안 칼럼입니다.


버그바운티 제도



버그바운티(Bug Bounty)란 버그바운티를 허락한 회사의 제품이나 사이트 등의 취약점을 발견하고, 이를 해당 회사에 통보하여 그에 따른 포상금을 받는 제도를 말합니다.



구글, 페이스북, 마이크로소프트 등 글로벌 IT 기업에서는 이미 버그바운티 제도가 굉장히 활발하게 운영되고 있습니다. 누적 보상금이 수십억원에 달할 정도로 보상금에 대한 투자 또한 아끼지 않고 있는데요. 버그바운티 제도를 지속적으로 유지하는 이유는 이 제도를 통해 신고받은 취약점을 신속하게 보안 업데이트 함으로써 피해를 미리 예방할 수 있기 때문입니다.



실제로 외국의 경우 적은 포상금으로 치명적인 취약점을 발견한 사례들도 많이 접할 수가 있는데요. 저렴한 비용으로 몇 배 이상의 효과를 기대할 수 있게 됩니다. 뿐만 아니라 해커와 보안 전문가들의 관심을 집중시켜 자신들의 시스템에 자연스럽게 유도시킬 수 있고, 이를 통해 광고 아닌 광고 효과도 가져올 수 있습니다. 결과적으로 기업은 사용자들에게 신뢰를 얻으며 긍정적인 이미지를 유지할 수 있습니다.




<출처 : http://www.ddaily.co.kr/news/article.html?no=129715>



미국은 이미 버그바운티를 도입하는 조직이 크게 증가하는 추세입니다. 400여개가 넘는 사기업은 물론 교육기관 및 정부기관들도 버그바운티를 도입하거나 도입을 고려하고 있다고 합니다.



국내 업계에서도 KISA(한국인터넷진흥원)가 2006년부터 S/W 신규 취약점 신고포상제를 실시하고 있는데요. KISA의 경우 출현도 25%, 영향도 30%, 공격효과성 30%, 발굴수준 15%를 평가하여 최소 30만원부터 최대 500만원까지 포상금을 지급하고 있습니다. 신고된 취약점은 자체적으로 검증 및 분석을 실시한 후 보안 업데이트를 개발 할 수 있도록 해당 업체에 전달됩니다.
포상제 도입 이후 신고 건수가 증가했을 뿐만 아니라 신규 취약점에 대한 사전예방, 기업의 인식 변화 등 긍정적인 효과를 보이고 있어, 많은 기업들이 적극적으로 나서고 있습니다.



요즘 국내에서 해킹 사건들이 빈번하게 발생하고 있습니다. 개인정보 유출뿐만 아니라 금전적인 피해를 볼 정도로 단순하게 지나칠 수 없는 큰 사건들이 많습니다. 이는 사전 예방이 부족하고 대책 없이 발생하는 경우가 대다수인데요. 국내 기업들은 정보보안 문제를 해결하기 위해 버그바운티 제도를 잘 활용할 필요가 있습니다. 이를 위해 기업의 문화와 인식이 바뀌어야 하며 자발적인 참여가 중요하겠고, 정부 차원에서도 버그바운티를 위한 제도 확립과 아낌없는 지원이 필요해 보입니다.