2024-03-19 19:40 (화)
엔키, 손쉽고 체계적인 버그바운티 플랫폼 ‘버그캠프’ 런칭
상태바
엔키, 손쉽고 체계적인 버그바운티 플랫폼 ‘버그캠프’ 런칭
  • 길민권 기자
  • 승인 2021.07.19 18:38
이 기사를 공유합니다

버그바운티 프로그램 운영 경험 있는 엔지니어가 직접 개발
화이트해커와 함께 숨겨진 보안문제 찾고 해결하는 플랫폼
엔키, 버그바운티 플랫폼 ‘버그캠프’ 신규 런칭
엔키, 버그바운티 플랫폼 ‘버그캠프’ 신규 런칭

사이버보안 전문기업 엔키(대표 박세한. ENKI)가 2021년 버그바운티 플랫폼인 ‘버그캠프’를 신규 런칭했다고 7월 1일 밝혔다.

버그바운티란, 취약점 신고 포상제로 자사 서비스와 제품의 신규 취약점을 제보받아 이를 평가하고 포상금을 지급하는 제도를 말한다. 버그바운티 플랫폼이란, 기업의 버그바운티 프로그램과 화이트 해커를 연결하고, 버그바운티 프로그램 운영에 필요한 기능을 제공하는 서비스이다.

최근들어 코로나 이슈로 인해 비대면 영역은 확대되었고, 이에 따라 사이버 위협은 증가하고 있는 실정이다. 실제로, FBI에 따르면 2020년 동안 BEC(Business Email Compromise)공격은 급증했고 18억 달러 이상의 손실이 발생했다고 밝혔다. 의료, 제조, IT 등 업종의 종류와 규모를 가리지 않고 일어나고 있으며, 제 3자 IT 서비스 제공업체를 공격의 발판으로 삼아 다른 고객사에게 뻗어나가는 수법도 발생하고 있다.

기업이 보안을 강화하기 위해 택할 수 있는 전략은 다양하다. 그 중 하나인 버그바운티는 외부 공격자 관점에서 보안 진단을 하는데 탁월하고, 비용대비 효과적이며, 위협을 상시 관리할 수 있다는 장점이 있다.

그러나 기업이 자체적으로 버그바운티를 운영하기 위해서는 취약점 제보에 대응(분석, 평가, 보상 등) 가능한 전문 인력, 제보자와의 원활한 소통, 합리적이고 안전한 참여 정책 설정에 있어 많은 공수와 시행착오가 필요하다.

엔키가 올해 선보인 ‘버그캠프’는 취약점 제보 경험이 많은 해커들과 버그바운티 프로그램을 운영한 경험이 있는 엔지니어가 직접 개발하고 운영하고 있어 손쉽게 체계적인 버그바운티 프로그램을 시작할 수 있다.

또한, 업종과 규모에 관계없이 다양한 정보자산을 버그바운티 프로그램으로 등록할 수 있으며, 다양한 기술 배경과 전문성을 가진 다수의 화이트해커들에게 노출되어 새로운 관점으로 유의미한 취약점 제보를 받을 수 있다.

버그바운티 플랫폼 '버그캠프'
버그바운티 플랫폼 '버그캠프' 서비스

◇엔키의 손쉽고 체계적인 버그바운티 프로그램 ‘버그캠프’

엔키의 ‘버그캠프’를 좀더 자세히 살펴보자.

화이트 해커와 기업이 자유롭게 협력할 수 있는 운영방식을 갖고 있다는 것이 특징이다. 기업은 소유한 인프라 종류에 맞게 프로그램을 자유롭게 등록하며 이때 버그바운티 금액도 자율적으로 결정할 수 있다.

정보 인프라의 프로그램 카테고리는 아래와 같다.

•웹 : 주요 대고객 서비스가 되는 웹 사이트, 웹 어플리케이션

•모바일 : iOS, Android 플랫폼에서 동작하는 어플리케이션

•데스크탑 : MacOSX, Windows, Linux 플랫폼에서 동작하는 어플리케이션

•게임 : 게임이 구현하는 가상환경을 제한된 대상으로 함, (돈 복제, 계정 탈취 등)

•하드웨어 : 웹캠, 공유기 등 IoT 장비 및 하드웨어 일체

•인프라 : 재직자의 email 탈취 가능성 및 기업 내부 침투 및 정보 유출 가능성이 있는 대상 일체

•기타 : 일반 카테고리 범주에 속하지 않는 보안 대상

기존 보안 투자비용이 비교적 높은 금융회사나 IT기업 외에도 IT 전문성이 부족하거나 보안 전문인력 구성 등 보안에 투자하기 어려운 상황에 있는 모든 기업이 버그캠프에 참여할 수 있다.

한 예로 스타트업 기업의 경우, 충분한 이익이 있기 전에 보안에 투자하는 것이 부담이 될 수 있지만 여력에 맞게 크라우드 소싱된 화이트 해커와 협력하는 방식으로 보안 문제를 초기부터 진단하고 해결해 나갈 수 있다는 것도 장점이다.

그 외 제조업 공장이나 병원 등은 개인정보, 기업 내 중요 정보 등을 이미 전산화된 인프라에 저장하며 정보 기술을 적극적으로 활용하고 있지만 정보보안에 대한 전문성이 부족할 수 있다. 이 때 버그바운티 플랫폼을 통해 다양한 전문성을 배경으로 하는 화이트해커들로 부족한 전문성을 보충할 수 있다.

보안취약점은 보안사고의 가장 근본적인 문제다. 다양한 보안 문제의 해결 방법 중 보안취약점을 제거하는 매우 효율적인 방법이 바로 버그바운티라고 할 수 있다.

한편 엔키는 버그바운티 플랫폼으로 많은 기업의 참여를 이끄는 것은 화이트해커들에게 기술 증진 동기나 기술 활용의 기회를 넓히는 효과도 크다고 강조한다. 버그바운티 플랫폼이 단편적인 역할에 그치지 않고 보안 기술 교육 플랫폼으로 플랫폼 기능 확장도 계획하고 있다고 전했다.

박세한 엔키 대표는 "디지털 시대로 전환된 지금 세상에는 보안문제가 만연하다. 일상 속에 존재하는 잠재적 위협에 방어하기 위해서 버그바운티는 효과적이라고 생각한다"며 "많은 기업들이 자체적으로 보안을 강화하고 안전한 서비스를 운영하는데 도움이 되기를 바란다"고 말했다.

★정보보안 대표 미디어 데일리시큐!★

■ 보안 사건사고 제보 하기

▷ 이메일 : mkgil@dailysecu.com

▷ 제보 내용 : 보안 관련 어떤 내용이든 제보를 기다립니다!

▷ 광고문의 : jywoo@dailysecu.com

★정보보안 대표 미디어 데일리시큐 / Dailysecu, Korea's leading security media!★