해커는 해커의 방식으로 사고할 수 있습니다. 따라서 ‘해킹 방지’를 원한다면, 해커의 시각에서 접근해야 할 필요가 있습니다.
애플리케이션 보안은 시간이 흐를수록 더욱 중요한 화두가 되어 왔습니다.
다양한 방어 도구(방화벽, SSL, 비대칭 암호화 등)가 존재함에도 불구하고, 웹 기반 애플리케이션이 해커로부터 완벽히 안전하다고 단정할 수 없습니다.
그 이유는 무엇일까요?
근본적인 이유는 소프트웨어 개발 과정이 여전히 복잡하고 취약하다는 점입니다. 개발자들이 사용하는 코드에는 버그(알려진 것과 알려지지 않은 것)가 항상 존재하며, 새로운 소프트웨어 및 라이브러리의 등장과 함께 새로운 버그도 계속해서 발생합니다. 심지어 최고의 기술 기업들조차 때때로 보안 문제에 직면하며, 그럴 만한 이유가 있습니다.
지금 바로 해커를 고용하세요!
소프트웨어 영역에서 버그와 취약점이 절대 사라지지 않는다는 점을 고려할 때, 기업들이 왜 이 소프트웨어에 의존해야 할까요? 예를 들어, 새롭게 개발된 지갑 앱이 해커의 공격 시도에서 안전할 것이라는 확신은 어떻게 얻을 수 있을까요?
눈치채셨겠지만, 답은 해커를 고용하여 이 새로운 앱의 취약점을 파악하는 것입니다. 어떻게 가능할까요? 바로 버그 바운티, 즉 충분한 보상을 제공함으로써 가능합니다.
현상금이라는 단어가 서부 개척 시대의 총격전과 같은 이미지를 떠올리게 한다면, 그것이 바로 핵심입니다. 최고의 지식과 기술을 가진 해커(보안 전문가)들을 영입하여 앱을 검토하게 하고, 그들이 취약점을 발견하면 보상을 제공하는 것입니다.
이를 위한 두 가지 방법이 있습니다. 첫째, 자체적으로 버그 바운티를 운영하거나, 둘째, 버그 바운티 플랫폼을 이용하는 것입니다.
버그 바운티: 자체 운영 vs 플랫폼 이용
자체적으로 운영할 수 있음에도 불구하고 왜 버그 바운티 플랫폼을 선택하고 비용을 지불해야 할까요? 관련 정보가 담긴 페이지를 만들고 소셜 미디어를 통해 홍보하면 충분하지 않을까요? 물론 실패할 리가 없을 텐데요?
물론 좋은 생각처럼 보일 수 있습니다. 하지만 해커의 관점에서 생각해보세요. 버그를 찾는 것은 쉬운 일이 아닙니다. 수년간의 훈련, 방대한 지식, 강한 의지력, 그리고 대부분의 ‘비주얼 디자이너’보다 뛰어난 창의성이 필요합니다. (죄송합니다, 이 농담을 참을 수 없었습니다! :-P)
해커는 당신이 누구인지, 보상을 확실히 지급할 것인지 확신하지 못할 수 있습니다. 자체적으로 운영하는 버그 바운티는 Google, Apple, Facebook과 같은 대기업에서나 효과적입니다. 왜냐하면 해커들은 그들의 포트폴리오에 이름을 올리는 것을 자랑스럽게 생각하기 때문입니다. “XYZ Tech Systems에서 개발한 인사 관리 시스템 앱에서 중요한 로그인 취약점을 발견했습니다.”라는 말은 그다지 인상적이지 않게 느껴질 수 있습니다. (이 이름과 유사한 회사가 있다면 사과드립니다!)
이 외에도 버그 바운티를 혼자 운영하면 안 되는 현실적인 이유들이 많습니다.
인프라 부족
여기서 언급하는 ‘해커’는 다크 웹에서 활동하는 사람이 아닙니다.
그들은 우리 ‘문명화된’ 세계에 관심을 가지거나 인내심을 가지지 않습니다. 대신, 우리는 대학에서 컴퓨터 공학을 전공하거나 오랜 기간 현상금 사냥꾼으로 활동한 연구자들을 말합니다. 이들은 특정 형식으로 정보를 요구하고 제출하며, 이는 익숙해지기 어려울 수 있습니다.
최고의 개발자조차도 이를 따라잡기 어려울 수 있으며, 기회비용이 너무 클 수 있습니다.
제출물 검토
마지막으로, 증거와 관련된 문제가 있습니다. 소프트웨어는 명확한 규칙에 기반하여 구축되지만, 특정 요구 사항이 정확히 충족되었는지 여부는 논쟁의 여지가 있을 수 있습니다. 예를 들어, 다음과 같은 상황을 가정해 봅시다.
인증 및 권한 부여 오류에 대한 버그 바운티를 설정했다고 가정합니다. 즉, 시스템이 해커의 사칭 위험에서 안전하다고 주장합니다.
이제 해커가 특정 브라우저의 작동 방식을 기반으로 사용자의 세션 토큰을 훔쳐 사칭할 수 있는 취약점을 발견했다고 가정합니다.
이는 유효한 발견일까요?
해커의 관점에서는 침해는 침해입니다. 그러나 귀사의 관점에서는 이것이 사용자의 책임 영역에 속한다고 생각하거나 해당 브라우저가 귀사의 목표 시장에서 중요하지 않다고 생각하여 인정하지 않을 수도 있습니다.
이러한 모든 복잡한 상황이 버그 바운티 플랫폼에서 발생한다면, 발견의 영향을 판단하고 문제를 해결할 중재자가 있을 것입니다.
이러한 점을 고려하여, 인기 있는 버그 바운티 플랫폼을 살펴보겠습니다.
예스위핵 (YesWeHack)
예스위핵은 프랑스, 독일, 스위스, 싱가포르 등 여러 국가에서 취약점 공개 및 크라우드소싱 보안을 제공하는 글로벌 버그 바운티 플랫폼입니다. 기존 도구가 더 이상 기대에 미치지 못하는 상황에서, 증가하는 위협에 대처하기 위해 버그 바운티라는 혁신적인 솔루션을 제공합니다.
예스위핵을 사용하면 윤리적 해커의 가상 풀에 접근하여 테스트 기능을 극대화할 수 있습니다. 원하는 해커를 선택하고 테스트 범위를 지정하거나, 예스위핵 커뮤니티와 공유할 수 있습니다. 또한, 해커와 귀사의 이익을 보호하기 위해 엄격한 규정과 표준을 준수합니다.
해커의 빠른 대응력을 활용하여 앱 보안을 개선하고 수정 및 취약점 감지 시간을 최소화할 수 있습니다. 프로그램을 실행하면 그 효과를 확인할 수 있습니다.
오픈 버그 바운티 (Open Bug Bounty)
버그 바운티 프로그램에 너무 많은 비용을 지불하고 계신가요?
그렇다면 오픈 버그 바운티를 활용하여 크라우드 보안 테스트를 진행해 보세요.
이 플랫폼은 커뮤니티 중심의 개방적이고 무료이며, 중재 기능이 없는 버그 바운티 플랫폼입니다. 또한 ISO 29147 표준을 준수하는 책임감 있고 조율된 취약점 공개를 제공합니다. 현재까지 641,000개 이상의 취약점을 수정하는 데 기여했습니다.
WikiHow, Twitter, Verizon, IKEA, MIT, Berkeley University, Philips, Yamaha 등 주요 사이트의 보안 연구원 및 전문가들이 오픈 버그 바운티 플랫폼을 사용하여 XSS 취약점, SQL 삽입 등의 보안 문제를 해결했습니다. 지식이 풍부하고 대응력이 빠른 전문가를 찾아 작업을 신속하게 완료할 수 있습니다.
해커원 (HackerOne)
수많은 버그 바운티 프로그램 중에서도 해커원은 해커를 연결하고, 현상금 프로그램을 만들고, 참여를 유도하고, 기여도를 평가하는 데 있어서 선두를 달리고 있습니다.
해커원을 이용하는 두 가지 방법이 있습니다. 플랫폼을 사용하여 취약점 보고서를 수집하고 직접 처리하거나, 해커원의 전문가가 어려운 작업(분류 작업)을 수행하도록 할 수 있습니다. 분류 작업은 취약점 보고서를 정리하고 확인하며 해커와 소통하는 과정입니다.
해커원은 Google Play, PayPal, GitHub, Starbucks 등 대기업에서 사용하므로, 분명히 심각한 버그와 상당한 예산을 가진 기업에게 적합합니다. 😉
버그크라우드 (Bugcrowd)
버그크라우드는 보안 평가를 위한 다양한 솔루션을 제공하며, 그중 하나가 버그 바운티입니다. 기존 소프트웨어 개발 수명 주기에 쉽게 통합할 수 있고, 성공적인 버그 바운티 프로그램을 간편하게 운영할 수 있는 SaaS 솔루션을 제공합니다.
소수의 해커가 참여하는 비공개 버그 바운티 프로그램이나, 수천 명에게 크라우드소싱하는 공개 프로그램을 선택할 수 있습니다.
세이프해츠 (SafeHats)
귀사가 기업이고 버그 바운티 프로그램을 공개적으로 진행하는 것이 불편하며, 일반적인 버그 바운티 플랫폼에서 제공하는 것보다 더 많은 관심을 필요로 한다면, 세이프해츠가 최선의 선택이 될 수 있습니다. (끔찍한 말장난이죠?)
전담 보안 고문, 심층적인 해커 프로필, 초대만 가능한 참여 방식 등 모든 것이 귀사의 요구 사항과 보안 모델의 성숙도에 따라 제공됩니다.
인티그리티 (Intigriti)
인티그리티는 비공개 또는 공개 프로그램 운영 여부와 관계없이 화이트 해커와 연결해 주는 포괄적인 버그 바운티 플랫폼입니다.
해커의 경우, 현상금을 받을 기회가 많습니다. 회사의 규모와 산업에 따라 1,000유로에서 20,000유로에 이르는 버그 사냥 기회를 얻을 수 있습니다.
시낵 (Synack)
시낵은 기존의 틀을 깨고 큰 성과를 내는 특별한 시장 중 하나입니다. 시낵의 보안 프로그램, 특히 펜타곤 해킹은 몇 가지 중요한 취약점을 발견하는 데 기여한 주요 사례입니다.
따라서 단순한 버그 발견을 넘어 최고 수준의 보안 지침과 교육을 찾고 있다면, 시낵이 좋은 선택입니다.
결론
‘기적의 치료법’을 외치는 치료사들을 멀리해야 하듯이, 완벽한 보안을 약속하는 웹사이트나 서비스도 경계해야 합니다. 우리가 할 수 있는 일은 이상적인 상태를 향해 나아가는 것뿐입니다. 따라서 버그 바운티 프로그램은 버그가 없는 애플리케이션을 만들 수 있다고 기대해서는 안 되며, 심각한 문제를 해결하는 데 필수적인 전략으로 간주해야 합니다.
다음 링크를 확인하여 버그 현상금 사냥 과정을 통해 명성, 보상 및 지식을 쌓으세요.
세계에서 가장 큰 버그 바운티 프로그램에 대해 알아보세요.
앱에서 많은 버그를 제거하시길 바랍니다! 🙂