2022-01-20 17:35 (목)
버그바운티와 사이버위협 인텔리전스 정보의 중요성 대두
상태바
버그바운티와 사이버위협 인텔리전스 정보의 중요성 대두
  • 길민권 기자
  • 승인 2021.08.12 15:00
이 기사를 공유합니다

“CISO, 보다 효과적으로 위협 방어하기 위해 버그바운티 도입과 위협 데이터 수집 강화해야”

사이버공격과 랜섬웨어 공격이 급증함에 따라, VRP(취약점 보상 프로그램) 또는 ‘버그 바운티 헌팅’이 모든 보안 프로그램의 필수 요소로 부각되고 있다.

보안을 강화하고 사용자를 보호하기 위해 보안취약점을 발견하는 사람들에게 보상을 제공하는 프로그램이다. 보상(바운티)은 취약점의 심각도에 따라 달라진다.

아카마이 최근 보고서에 따르면, 버그 바운티 프로그램이 정규직 보안 연구원을 고용하는 것보다 버그당 ROI가 가장 높은지에 대해서는 논란이 있다.

그러나 UC 버클리 연구에 따르면 보안취약점을 찾는 데 있어 VRP는 사내 보안 연구원보다 비용 효율성이 100배 더 높을 수 있다고 발표한바 있다.

내부에서 관리하든 써드파티를 통해 관리하든, 보안연구원과 협력하면 기업에서 발견된 취약점을 더 잘 관리하고 이러한 취약점을 악의적인 해커에게 노출하지 않도록 장려할 수 있기 때문이다.

또한 악성 해커가 취약점을 찾아 악용하기가 더욱 어려워지고, 제로 데이 유출 가능성이 줄어들 수 있다.

기술 대기업인 구글은 2020년 VRP에 670만 달러를 지출하며 신기록을 경신했다. 2010년 처음 만들어진 구글 크롬의 VRP는 최근에 도용 연구 보조금(Abuse Research Grant)까지 포함하며 보다 확장됐다.

이 보조금은 구글 제품에서 버그를 발견한 이후가 아니라 잠재적인 버그를 조사한 연구원에게 선불로 제공된다.

인터넷에 연결되는 스마트 디바이스가 다양해지고 오픈소스 구성 요소가 널리 사용됨에 따라 CISO는 광범위하고 빠르게 변화하는 위협 환경에 직면하고 있다.

기업은 제로데이 취약점 또는 큰 이슈가 될 수 있는 버그에 대비해야 하며, 사이버 보안 체계의 잠재적 결함을 발견하고, 소통하고, 검증하고, 문서화할 수 있는 강력한 프로세스를 갖추고 있어야 한다고 보고서는 강조하고 있다.

CISO, 사이버위협 인텔리전스 정보 수집·활용 방안 마련해야

한편 보고서는 CISO가 사이버 보안 위협을 효과적으로 방어하는 데 활용할 수 있는 신뢰할 수 있고 유용한 데이터가 필요하다고 말한다.

해커들은 다크웹에서 서로 협력하기도 하고 외국 정부 기관과 협력하면서 정보를 교환한다.

최근 보안기업 카스퍼스키가 5천200명의 IT 및 사이버 보안 전문가를 대상으로 실시한 연구에 따르면, 3명 중 2명이 이미 전문 커뮤니티에 참여하고 있음에도 불구하고 2명 중 1명은 위협 인텔리전스 정보를 공유하지 못하고 있다고 지적한 바 있다.

CISO는 지속적인 대화 및 긴밀한 협업을 통해 보안 침해가 있는 부분을 파악하고 향후 공격을 방어할 수 있는 방법에 대한 권장사항을 확보해야 할 수 있어야 한다는 것이다.

또한 보안 업계에서 효율성을 높이려면 드러나지 않은 부분을 파헤칠 수 있는 파트너십의 수가 중요하다고 말한다.

정보 공유 포럼은 자주 언급되지만 광범위하고 지속적이며 협력적인 행동은 보이지 않고 있다. 특히 한국은 사이버위협에 대한 정보 공유가 턱없이 부족한 상황이다.

정보 공유는 기술 데이터에만 국한되는 것이 아니라 가능한 공격, 방어 기술, 지속적인 위협에 대한 경고를 포함해야 한다.

사이버 방어를 강화하기 위해서는, 다른 사람들의 경험은 큰 도움이 된다. 그렇지 않으면 정보가 부족한 상태에서 싸울 수밖에 없다.

보고서는 말미에, 한 조직의 이익을 뛰어 넘어 전체 커뮤니티를 보호하기 위해 투자할 준비가 되어 있어야 한다. 가장 약한 부분이 가장 큰 리스크가 되기 때문이다라고 전했다.

★정보보안 대표 미디어 데일리시큐!★