하반기 최대 정보보안&개인정보보호 컨퍼런스 PASCON 2021이 11일 위드코로나 상황에서 안전하게 성황리에 개최됐다.
PASCON 2021은 정보보안 전문 미디어 데일리시큐가 주최하고 개인정보보호위원회, 한국인터넷진흥원, 한국정보보호산업협회 후원으로 개최됐으며 공공, 금융, 기업 각 분야 정보보안 및 개인정보보호 책임자, 실무자들이 대거 참석했다.
이 자리에서 삼성SDS 이영호 소사장은 “해킹공격의 집단면역 체계 구축: 해킹존 버그바운티”란 주제로 강연을 진행했다.
전통적인 침투테스트는 높은 비용으로 소수의 인력을 고용해 일정 기간동안 점검하는 시간기반 취약점 점검 방식이다.
대부분의 대한민국의 기업들은 이 침투테스트를 연 1~2회를 받고 있다.
앱 하나당 평균 1.5명의 인원이 필요하며, 연간 1~2회 정도 실행하는 것이 대부분이다. 하지만 최근 애플리케이션은 상시적으로 업데이트 및 패치가 진행되기 때문에 이러한 인원과 횟수로는 취약점 관리가 어려우며, 비용 역시 많이 든다.
그럼에도, 매번 점검할 때 마다 취약점이 새로 도출되거나 보안사고가 일어나는 일이 빈번하게 발생한다.
그 이유는 악의적인 해커의 수는 너무나 많고 그들은 시간의 제약조차 없기 때문에 발견하기 더 어렵고 복잡한 취약점을 찾을 수 있기 때문이다.
그래서 최근 글로벌 기업들은 이 한계를 뛰어넘는 방법으로 버그바운티를 차용하고 있다.
이영호 소사장은 “버그바운티는 기업의 제품, 서비스의 취약점 제보자를 포상하는 제도로써, 취약점을 쉽고 빠르게 더 많이 발견하고 지속적인 점검이 가능한 장점을 가지고 있다”며 “버그바운티는 많은 수의 보안전문가가 참여하게 되고 성과기반으로 포상하기 때문에 낮은 비용으로 높은 효율을 얻을 수 있을 뿐 아니라, 24시간 365일 지속적인 점검도 가능하다”고 설명했다.
삼성SDS 해킹존에서 버그바운티를 실제로 운영한 결과 침투테스트를 충분히 받고 통과했던 시스템에서 조차 참여자가 단 10분만에 버그를 발견해 제보하기도 했다.
그는 “버그바운티를 참여하고자 하는 기업이 가장 우려하는 부분은 참여자가 찾은 취약점을 악용하지 않을까 하는 점인데, 첫 제보자에게만 포상하는 버그바운티의 특성과 수많은 인원이 참여하기 때문에 한 참여자가 제보하지 않더라도 다른 참여자가 발견할 수 밖에 없기 때문에 오히려 악용의 소지가 줄어든다”고 전했다.
특히 “해킹존의 경우, VDI를 활용한 가상환경 버그바운티(특허출원중)를 제공하기 때문에 더 안전하고 효과적인 점검결과를 얻을 수 있어 국내 최대 레퍼런스를 확보하고 있다”고 밝혔다.
끝으로 그는 “구글 모질라 등 글로벌 선두 기업은 필수적으로 버그바운티를 적용하는 추세이며 한국의 경우 보수적인 기업 문화 때문에 자사 서비스의 버그가 노출되는 것을 기피하는 경향이 있다”며 “하지만 버그바운티 제도가 활성화 되어, 더 안전한 사이버 환경을 만드는데 해킹존이 일조할 수 있었으면 좋겠다”고 말했다.
◇삼성SDS 버그바운티 플랫폼 ‘해킹존’
해킹존은 기업과 화이트해커를 연결하는 버그바운티 플랫폼이다. 버그바운티란 기업의 제품이나 서비스의 취약점 제보자에게 포상을 하는 제도로써, 많은 글로벌 기업에서 운영하고 있는 제도다. 버그바운티는 기존의 모의해킹, 보안점검과는 달리 대규모 인력이 상시적으로 보안점검에 투입되어 높은 효과의 취약점 점검을 제공한다.
해킹존은 버그바운티에 필수적인 취약점 분석 평가, 화이트해커 모집 및 홍보, 제보창구 포상금 운영 지급, 취약점 이력 관리 등의 서비스를 제공함으로써 기업이 버그바운티를 효율적이고 효과적으로 운영할 수 있게 한다.
기업은 2가지 형태로 해킹존에서 버그바운티를 운영할 수 있다.
첫번째는 신원이 인증된 대규모 화이트해커가 참여하는 퍼블릭 버그바운티다. 운영서비스에 대한 취약점을 제보받게 되며 취약점 제보에 대한 제약사항이 있지만 많은 화이트해커의 참여를 유도할 수 있다.
해킹존의 운영 경험상 퍼블릭 버그바운티를 오픈하게 되면 기본적인 공격 방식에 의한 취약점들은 하루 또는 이틀 안에 모두 찾게 된다. 또한 지속적으로 오픈되어 있으면 더욱 고도화된 공격에 의한 취약점들도 계속해서 제보받게 되어 점검효과가 매우 크다.
두번째는 소규모의 보안전문가가 투입되는 프라이빗 버그바운티다. 소규모의 제한된 화이트해커가 참여하게 되지만, 해킹존의 경우 가상환경(VDI) 안에서 운영시스템을 복제하여 구축한 시스템 또는 기업의 테스트 환경에 공격을 할 수 있게 되어 일반적인 운영시스템에서는 할 수 없는 매우 고도화된 공격을 시도할 수 있게 된다.
해킹존의 운영 경험상 가상환경을 통한 프라이빗 버그바운티의 경우 시스템 장악, 결제금액 조작, 개인정보 유출, 서비스 다운 등 매우 중요한 취약점을 제보받을 수 있었다. 가상환경을 이용하지 않는 경우에도 해킹존과 제휴를 맺은 실력이 검증된 화이트해커들이 참여하기 때문에 일반적인 취약점과 더불어 중요한 취약점 또한 많이 찾을 수 있는 이점이 있다.
현재 웹사이트 hackingzone.net에서 플랫폼을 확인하실 수 있으며, 프로그램 담당자, 리포터로서 참여 가능하다. 모바일에 최적화된 웹사이트는 22년 1월에 제공된다.
해킹존 관계자는 “일반적인 모의해킹, 보안점검에 비해 훨씬 더 저렴한 비용으로 매우 높은 점검 효과를 누리고 싶으시다면 반드시 버그바운티를 운영하시는 것을 추천한다. 보안은 적극적으로 보완할 경우에만 확보될 수 있다”고 강조했다.
PASCON 2021 발표자료는 아래 링크에서 다운로드 가능하다.
[FICCA2021] 아시아 금융&산업 사이버보안 컨퍼런스 2021에 여러분을 초대합니다.
-주최: RALFKAIROS(랄프캐로스)
-공동주최: 데일리시큐
-날짜: 2021년 11월 26일(금) 온라인(무료참관)
-참석대상: 국내 및 해외 공공, 기업, 금융기관 CISO, 정보보안실무자
-강사: 국내·외 최고 사이버보안전문가 초청강연(통역지원)
-무료참관등록: 클릭
▶지금 사전등록하세요!
★정보보안 대표 미디어 데일리시큐!★
