이 자리에서 라인(LINE) 이명재 시큐리티 시니어 엔지니어는 ‘LINE Security Bug Bounty Program(라인의 버그바운티 프로그램)에 대해 강연을 진행했다. 현재 이명재 엔지니어는 일본 라인에서 버그바운티 프로그램 운영을 담당하고 있으며 이번 PASCON 2017에서 버그바운티 프로그램 운영 필요성과 노하우를 한국 기업 보안담당자들과 공유하기 위해 발표시간을 가지게 됐다.
버그바운티는 해커들이 취약점을 찾아 보고하면 심사를 거쳐 취약점 수정 이후 보상금 정책에 따라 보상금을 지급하는 프로그램을 말한다. 현재 국내외 기업들 중 자사가 직접 버그바운티를 운영하는 곳은 구글, 페이스북, 라인, 마이크로소프트, 삼성, 네이버, 텐센트 등이 있다. 기관으로는 KISA, IPA, CNNVD 등이 있으며 또 버그바운티 전문대행사로는 해커원(Hackerone), 버그크라우드(Bugcrowd) 등이 있다.
라인 버그바운티 보고 흐름은 취약점 보고가 이루어지면 보고자에게 연락을 취하고 1, 2차의 내부심사를 거쳐 취약점 패치된 사항을 보고자에게 연락한다. 이후 심사결과를 알리고 포상금 지불 완료후 최종 연락을 하는 형태로 이루어진다. 포상금은 위험도에 따라 차등지급하고 과거 참고금액의 3배 이상까지 보상금을 지불한 케이스도 있다.
라인 버그바운티 통계를 보면, 2015년 1개월 간 194건(일본내 89건, 해외 105건)이 접수됐으며 포상금 대상 취약점 건수는 14건, 총 포상금액은 4만4천달러였다.
상시운영을 개시한 2016년부터는 97건(일본내 15건, 해외 82건)이 접수됐으며 포상 대상 취약점은 13건, 지불금액은 2만7천달러로 집계됐다.
버그바운티 대상을 확대한 올해 2017년(9월까지 집계)에는 139건(일본내 9건, 해외 130건)이 접수됐고 포상금 대상 취약점은 33건, 총 포상금 지불금액은 5만달러가 넘었다. 라인은 버그바운티 운영 결과를 자사 블로그에 상세히 공개하고 있다.
이명재 엔지니어는 해커원 리포트를 인용하며 “올해 5월까지 해커원 고객은 약 5만건의 보안취약점을 해결했으며 지난해만 2만건이 넘는 보안취약점이 해결됐다”고 설명하며 “취약점을 보고하는 해커의 가장 큰 목적은 금전 목적이 가장 크고 다음이 재미와 도전이다. 해커 연령대는 13~24살이 가장 많다. 해커들의 직업은 보안전문가, 학생 등이 가장 많은 비율을 차지하고 있다. 가장 많은 취약점은 XSS였으며, 취약점 수정에 가장 빨랐던 부문의 평균시간은 31일, 포상금 지불이 가장 빨랐던 부문의 평균 시간은 18일(정부기관의 경우 61일 소요)로 집계됐다”고 설명했다.
그는 이어 “이제 버그바운티 프로그램은 구글이나 페이스북 그리고 미국 정부와 같은 다양한 기관이 사용하고 있다. 2016년도 버그바운티 프로그램의 41%가 기술 이외의 산업이 차지했다. 글로벌 탑기업들은 해커에게 보상금으로 1년에 90만달러까지 지불했고 평균 보상금은 2015년 대비 크리티컬 이슈에 대해서 16% 증가했다. 하지만 버그바운티 프로그램의 채용 및 보상금 경쟁력은 커졌지만 취약점 공개 프로그램은 아직 후진적이다. 포브스 글로벌 2000기업의 94%가 여전히 버그바운티 정책을 가지고 있지 않다.”고 전했다. 한국을 비롯한 많은 기업들이 버그바운티 정책을 세우지 않고 있다는 것이다.
마지막으로 그는 “버그바운티 프로그램은 해커를 고용하는 가장 좋은 방법이다. 회사의 보안을 지키는 가장 좋은 방법이기도 하다”며 “화이트 해커 참여에 의한 취약점 정보와 노하우를 배울 수 있으며 해커들은 다각도로 다양한 서비스를 보고 있기 때문에 한 곳에 발견된 서비스가 다른 곳에도 있는지 분석하게 된다. 빠른 응답과 적절한 보상으로 버그바운티를 활발히 운영해 해커들의 지속적이고 적극적인 참여를 유도하는 것이 바람직하다. 라인은 해커들의 많은 참여를 원한다”고 강조했다.
이명재 라인 엔지니어의 PASCON 2017 발표자료는 데일리시큐 자료실에서 다운로드 가능하다. -라인 버그바운티 프로그램: bugbounty.linecorp.com
★정보보안 대표 미디어 데일리시큐!★