역사상 최악의 보안 사태로 전 세계를 떠들썩하게 만든 Log4j를 비롯해 사이버 공격이 점점 많아지고 있습니다. 이럴 때일수록 화이트 해커의 역할이 점점 커진다고 하는데요. 오늘은 삼성SDS 사내벤처로 기업을 위한 버그바운티 플랫폼을 운영하고 있는 ‘해킹존’을 만나봤습니다!

Q. 안녕하세요? 해킹존에 대해 간단히 소개 부탁드려요.

해킹존은 보안 문제를 해결하고자 하는 기업과 화이트 해커를 연결해 주는 플랫폼입니다. 기업이 취약점 점검을 요청하면 해킹존에 등록된 수백 명의 화이트 해커가 점검을 요청한 기업의 보안 취약점을 찾아내 취약점 분석 리포트를 제공하죠. 대규모 인원이 동시에 보안 취약점을 찾다 보면, 기존 2~3명이 투입되는 소규모 보안 점검보다 훨씬 점검 효과가 뛰어나고 비용도 효율적이에요. 해킹존은 보안, 기획, 설계, 개발 등 다양한 업무를 담당하는 팀원 8명으로 구성되어 있습니다.

Q. 해킹존은 어떤 아이디어로 시작되었나요?

이전 팀에서 소규모 보안 점검 업무를 담당했는데, 보안 점검을 수행하는 저 자신조차도 ‘이렇게 2~3명이 점검해서 모든 취약점을 찾을 수 있을까? 과연 내가 진행한 보안 점검이 완벽하다고 말할 수 있을까?’하는 의문이 들었습니다. 더욱 효과적이고 효율적인 보안 점검 방법을 고민하다가 버그바운티(bug bounty) 방식의 보안점검을 기획하게 되었습니다

Q. 버그바운티 플랫폼에 대해 자세히 설명해주세요.

버그바운티는 ‘취약점 보상 제도(VRP - Vulnerability Reward Program)’를 뜻하는데요. 기업과 보안전문가를 연결하는 플랫폼입니다. 기업은 다양한 보안 전문가로부터 취약점을 제보 받고 보상함으로써 가장 효율적인 비용으로 높은 효과의 취약점 점검을 받을 수 있죠.

버그바운티를 시행할 기업에서 우리 제품/서비스의 취약점을 찾아달라고 공지를 하면, 수많은 화이트 해커들이 취약점을 찾아서 제보합니다. 기업에서는 제보 내용을 재현/분석/평가해서 유효한 취약점이라고 판단되면 제보한 화이트 해커에게 합당한 포상금을 지급해 주는 방식입니다. 기업은 내부에서 발견하지 못했던 취약점을 찾아내 조기 조치하는 효과가 있고, 화이트 해커는 본인의 실력을 인정받고 포상금까지 받는 장점이 있습니다.

Q. 전통적인 해킹과 버그바운티의 차이점은 무엇일까요?

전통적인 모의해킹 보안점검은 2~3명으로 구성된 소수의 점검 인력이 1~2주 정도 투입되어 취약점을 점검하고, 성과에 관련 없이 비용을 청구하는 형태였습니다. 점검 인원의 실력도 보장할 수 없었고요. 반면, 버그바운티는 수백 명의 대규모 점검인력이 기간 제한 없이 상시 취약점을 점검하고, 참여한 화이트 해커의 성과에 비례하는 포상금만 지급하는 방식이에요. 따라서, 인력·기간·비용 등 여러 측면에서 버그바운티가 훨씬 효과적이고 효율적이죠! IT 제품과 서비스는 나날이 복잡해지고, 해킹 기술도 점점 발전하기 때문에 전통 방식의 보안점검만으로 모든 취약점을 찾아내는 것은 불가능해요. 해킹존에서는 화이트 해커들의 집단지성을 이용해 최대한 많은 취약점을 찾아낼 수 있습니다.

Q. 버그바운티에 참여하는 화이트 해커 규모는 어느 정도인가요? 실제 포상금을 받은 화이트 해커도 있겠죠?

해킹존에는 1,500여 명의 화이트 해커가 가입되어 있어요. 한 개의 버그바운티 프로그램이 오픈되면 평균 100~300명가량 참여합니다. 지금까지 유효한 취약점 제보로 인정받아 포상금을 받은 화이트 해커는 100여 명 정도 됩니다. 가입자 수는 계속 증가하는 추세이므로 참여 인원은 앞으로 더욱 늘어날 거라고 예상하고 있고요.

Q. 해킹존에 화이트 해커로 회원 가입을 하려면 테스트가 필요한가요?

회원 가입 시 별도 테스트는 없습니다. 해킹존 가입자 중에는 전문적인 해커가 대부분 있지만, 이제 막 해킹에 대해 공부를 시작한 초보 해커들도 많아요. 초보 해커들은 해킹존에서 실전을 경험하면서 해킹 실력을 키울 수 있는데요. 해킹존에서는 진정한 화이트 해커를 양산하기 위해 초보 해커들이 실력을 악용하지 않고 보람된 일, 즉 버그바운티에 참여할 수 있는 장을 만들어주고 있습니다.

Q. 버그바운티 서비스 진행 절차와 어떤 취약점을 찾아낼 수 있는지 궁금합니다.

기업 고객이 해킹존에 ‘기업 고객’으로 가입한 후 버그바운티 프로그램을 개설할 수 있습니다. 화이트 해커로부터 취약점이 제보되면, 해킹존 운영진이 제보 내용을 재현·분석/평가하여 유효한 취약점만 선별해서 기업 고객에게 제공해요. 기업 담당자는 제공받은 유효한 취약점을 바탕으로 포상 금액을 결정하고, 화이트 해커는 포상금을 지급받게 됩니다. 해킹존 버그바운티에는 대기업·중소기업·스타트업 등이 참여할 수 있고, 웹사이트, 모바일앱, Client SW/IoT 등 모든 제품의 취약점을 제보받을 수 있습니다.

Q. 국내 외 버그바운티 도입 현황은 어떤가요?

해외에는 기업 버그바운티 참여가 보편화되어 있어요. 심지어 의무적으로 취약점을 공개 제보받도록 법제화하는 국가도 있어서 버그바운티에 참여하는 기업은 수를 셀 수가 없는 정도로 많아요. 반면, 국내에서는 버그바운티를 하는 기업이 손에 꼽을 정도로 적습니다. 저희는 우리나라 버그바운티 활성화에 도움이 될 거라는 믿음을 갖고 국내 향 버그바운티 플랫폼을 서비스하고 있어요.

Q. 국내 향 버그바운티 플랫폼에 대해 자세히 설명해주세요. 해외와 어떤 차별점이 있을까요?

아직 우리나라는 버그바운티 문화와 인식이 성숙 단계가 아니고, 기업 보안문화는 매우 보수적이고 폐쇄적이에요. 기업 고객이 버그바운티를 위험하게 생각하고 기피하는 경우가 많아요. 실제로 화이트 해커가 버그바운티 규칙을 어겨서 문제를 일으키기도 합니다. 저희는 무조건 버그바운티를 권장할 것이 아니라, 좀 더 안전한 환경에서 버그바운티를 할 수 있도록 만들어줘야 한다는 생각에 ‘가상 환경에서 버그바운티를 해보면 어떨까?’하는 아이디어 냈어요! 해킹존은 가상환경 안에서 가상 서비스를 가상 데스크톱으로 점검하는 기능을 제공합니다. 점검 대상이 가상 서비스이므로 기업에게는 안전함을, 화이트 해커에게는 자유로움을 줄 수 있는 버그바운티 환경을 제공하고 있죠! 특히, 가상환경(VDI)에서는 해킹 방법의 제약사항이 적기 때문에 더욱 다양한 공격 방법을 통해 더 많은 취약점을 발견할 수 있습니다. 정보 유출이나 시스템 장애 없이 보안 취약점을 파악할 수 있다는 것이 가장 큰 강점이에요. 그 결과 여러 국내 기업 고객들이 안심하고 가상 서비스를 대상으로 버그바운티에 참여하게 되었어요.

Q. 해킹존을 통해 시스템 취약점을 분석한 기업 고객은 몇 곳 정도 될까요? 한번 취약점 분석 보고를 받은 고객은 지속적으로 서비스를 받게 되는지도 궁금해요.

2021년까지 10여 개 기업 고객의 30여 개 버그바운티 프로그램을 운영했습니다. 현재 지속적으로 신규 기업 고객이 유입되고 있어 올해는 훨씬 증가할 것으로 예상하고 있고요. 버그바운티를 통해 발견되는 취약점은 기존 취약점과 연관된 경우가 많고, 히스토리 관리도 중요하기 때문에 해킹존에서 한번 서비스를 받은 고객은 지속적으로 저희 고객이 되는 경우가 많습니다.

Q. 사내벤처를 하면서 느끼고 있는 어려움과 보람에 대해 말씀해주세요.

팀 소속으로 일 할 때는 회사에서 시키는 일만 잘 해내면 되는 거였어요. 그런데 사내벤처를 맡게 되면서 기획·설계·개발·영업까지 모두 팀원들이 직접 고민하고 행동해야 하더라고요. 기존에 한 가지 역할만 했다면, 사내벤처에서는 한 명이 서너가지 역할을 해야 하니 처음에는 매우 힘들고 어려울 수 밖에 없었죠. ‘내가 왜 이 고생을 사서 할까?’라는 고민도 했던 기억이 나네요.

그런데, 해킹존 버그바운티 프로그램에 참여했던 기업 고객과 화이트 해커들에게 다양한 피드백을 받으면서 점점 보람을 느끼게 되었습니다. 기업 고객들은 ‘보안에 정말 많이 도움이 되었다’는 인사를 보내왔고, 화이트 해커들은 화이트 해커들은 ‘해킹존 버그바운티 실적이 입시와 입사에 도움이 되었고, 해킹존 버그바운티 플랫폼을 만들어주셔서 감사하다’는 의 메시지를 보내왔는데요. 해킹존 팀원 모두 ‘우리가 국내 기업과 개인, 나아가 사회의 보안 경쟁력을 높이고 있다’는 자부심을 얻게 되었죠.

Q. 해킹존 함께한 기억에 남는 에피소드를 들려주세요.

한 번은 화이트 해커 한 분께 포상금 지급 건으로 연락을 드렸는데, 본인이 받을 포상금을 어딘가에 기부할 수 있는지 물으시더라고요. 본인은 취약점을 발견해서 제보하는 것에 보람을 느끼는 거라 포상금이 주목적은 아니라고 말씀하셔서 크게 감동받은 적이 있습니다. 화이트 해커들이 단순히 포상금을 받으려고 버그바운티에 참여한다는 오해하는 경우가 많은데, 실제로는 취약점을 찾아내 제보하는 일 자체에 보람과 희열을 느끼는 분들도 많이 계시더라고요.

Q. 현재 해킹존이 하고 있는 고민이 있을까요?

저희는 우리나라 기업들이 버그바운티에 적극적으로 참여할 수 있는 방법에 대해 지속적으로 고민하고 있어요. 특히 화이트 해커들에게 어떤 특별한 가치를 제공해야 국내 화이트 해커 양성에 도움이 될지도 고민하고 있습니다.

Q. 앞으로 해킹존의 포부에 대해서도 말씀해 주세요.

해킹존의 현재 목표는 우선 국내 버그바운티 활성화를 통해 기업과 화이트 해커가 상생하는 새로운 보안문화를 만드는 것이에요. 새로운 보안문화가 만들어진 후에는 누구나 보안을 쉽게 접할 수 있는 세상을 만들고 싶습니다! 저희뿐 아니라 많은 보안 관계자들이 함께 노력해야 이룰 수 있는 꿈일 테지만, ‘보안은 어렵지 않다. 언제나 우리 가까운 곳에 있다’라는 인식을 널리 알리기 위해 노력하겠습니다.

소셜 팬 여러분~ 보안 업계에 종사하는 화이트 해커와 버그바운티에 대한 친절한 소개가 되었나요? 국내 버그바운티 활성화와 새로운 보안문화를 만들어갈 삼성SDS 해킹존에 많은 관심 부탁드리고, 화이트 해커를 꿈꾸는 소셜 팬이 있다면 해킹존 홈페이지에 방문해 보세요!

+ 해킹존 바로가기