버그바운티 feat.Toss
들어가며
얼마 전 토스에서 버그바운티 챌린지를 실시 한다고 한다. 예전부터 버그바운티에 많은 관심이 있었지만, 국내기업 들도 하나씩 보안에 많은 관심을 두고 있어 괜스레 기분이 좋다. 토스는 보안 취약점을 찾아낸 외부 전문가에게 건당 최대 3천만원 포상한다고 한다. 토스는 세계 최고 수준 화이트해커팀을 자체 운영 중이며 보안 투자를 전혀 아끼지 않는다.
버그 바운티 제도 & 버그헌팅
Bug Bounty란 취약점 보상 프로그램(VRP: Vulnerability Reward Program) 이라고도 한다. Bug Bounty는 기업의 서비스, IT 인프라, 소프트웨어 등을 해킹하고 보안 취약점을 발견하여 최초로 신고한 보안 연구원에게 포상금이나 기타 다른 보상을 지급하는 크라우드소싱(crowdsourced) 기반의 침투 테스트 프로그램이다. 버그바운티를 진행하는 이유는 기업의 자사 제품 혹은 서비스의 취약점을 찾아봐야 하기 때문이다. 이렇게 되면 기업과 버그 헌터 양쪽이 서로 좋다. 기업 입장에서는 악의적인 해커가 취약점을 악용하기 전 취약점을 패치 할 수 있다. 만약 악의적인 해커가 기업의 취약점을 이용한다면 기업의 이미지와 손해배상 등 많은 부분에서 큰 타격이 있을 것이다. 버그 헌터 입장에서는 취약점도 찾고 돈도 벌고 자신만의 커리어를 쌓을 수도 있기 때문에 좋다.
버그바운티를 진행하면서 지켜야 하는 룰이 있고 해도 되는 것과 하면 안 되는 것들이 있습니다. 이러한 것들은 버그바운티를 진행할 때 정말 중요하기 때문에 이 부분만 나중에 따로 작성 하도록 하겠습니다. 하지만 하나 기억해야할 것은 Responsible Disclosure Policy 이다. 한국어로는 책임있는 공개 정책이다.
현재 해외의 경우 Google, Meta, Microsoft, Apple 등 대기업은 독자적인 버그바운티를 진행하고 있으며 국내의 경우 네이버, 토스, 리디북스 등에서 버그바운티를 진행하고 있다. 또한 KISA에서 주관하는 보안취약점 신고 포상제도 있다. 이렇게 다양한 기업에서 버그바운티를 도입했지만, 현실은 많은 기업이 버그바운티를 도입하고 있지 않다. 개인적인 생각으로는 기업은 취약점의 존재를 인정하게 되면 유저 혹은 시선이 부정적일 것이다.
이러한 회사의 이미지 때문에 많은 기업은 버그바운티를 도입하지 못하고 있으며 취약점을 제보한 연구원이 소송이 걸리는 경우도 있다. 또한 버그를 알려주면 뭔데 우리 회사 보안을 건드리고 확인하냐고 하는 경우도 있다. 국내의 경우 서비스 중인 웹 사이트 혹은 서버에 대한 공격은 불법이다. 국내 웹 버그 헌팅은 제한적이라 힘들다. 해커는 해커로 막는다는 생각에서 비롯된 버그바운티 제도로 앞으로 많은 연구원이 관심을 두고 많은 기업과 활발하게 활동할 수 있기를 기대한다.
자세한 내용은 위에 사이트를 참고하시면 됩니다. 왜냐하면 회사마다 운영하는 방식이 다르기 때문이다. https://www.bugcrowd.com/bug-bounty-list/ 이 사이트는 버그바운티를 운영하는 회사의 정보들이 간단하게 정리되어 있다.
버그바운티 유형
버그바운티는 Public과 Private 두 가지로 진행된다. Public 프로그램은 누구나 참여할 수 있도록 진행되는 공개 프로그램이다. Private은 공개프로그램과 정해진 연구원참 참여할 수 있다.
버그바운티 장점
버그바운티 단점
버그 바운티 사이트
밑에 있는 회사들은 타 회사의 취약점 제보를 받는 버그 바운티이다.
제로디움
먼저 제로디움이다. 제로디움은 미국 정보보안 회사이며 소프트웨어, 모바일, OS 등에서 취약점을 받고 있으며 하이퀄리티의 취약점과 익스플로잇, 방어시스템을 구매하고 이를 판매하는 데 초점을 두고 있다. https://zerodium.com
사진은 제로디움 사이트에서 가져왔다. 사진을 보게 되면 가장 적은 금액 즉 기본이 $10,000이다. 글 작성 9/24일 기준 1달러에 1422.99원이다. 그렇게 되면 $10.000이면 원화로 14,229,900원이다. 가장 기본이 천만 원이 넘는다. 이렇게 보면 돈을 많이 주는 거 같지만 사실 돈을 많이 주는 만큼 쉬운 타깃이 없다. 또한 기본적으로 풀 익스를 해서 보내야 한다. 이런저런 어려움들이 있다.
해커원
해커원은 취약점을 발견해 포상금을 지급하는 기업과 연구원을 연결 시켜주는 플랫폼이다. 해커원은 제로디움과 ZDI와는 다르게 웹에 대해서만 버그바운티를 진행하고 있다. https://www.hackerone.com
해커원은 가입을 하게 되면 Hacktivity와 Directory 2개의 메뉴가 있다. 우선 Hacktivity은 다른 연구원이 제출한 버그바운티 보고서를 볼 수 있으며 Directory는 버그바운티 대상 보상금 룰 주의사항 등을 확인한 뒤 실제 버그바운티에 진행할 수 있다. 현재 Hackerone에 등록된 해커의 수는 16만 명이 넘는다.
ZDI
https://www.zerodayinitiative.com
findthegap
KISA 취약점 포상 신고제
KISA 취약점 포상 신고제는 세계에서 유일하게 국가 기관에서 운영되고 있는 버그 바운티 이다.
https://www.krcert.or.kr/consult/software/vulnerability.do
위에 있는 사이트에 들어간 다음 양식을 다운로드 한뒤 양식에 맞춰 작성하고 제보 하면 된다.
본론
이렇게 글을 작성하게 된 이유는 얼마 전 토스에서 진행하는 토스 버그바운티 챌리지를 진행하는 것을 보고 많은 사람이 버그바운티에 관심을 가졌으면 하는 바람에 작성하게 되었다. 사실 국내에 버그바운티를 진행하는 기업이 드물지만 스타트업에서 보안에 많은 투자를 하고 이렇게 공개적으로 버그바운티를 진행하는 거 자체로 기분이 좋다.
토스 버그바운티 챌린지는 토스 커뮤니티 홈페이지, 토스 홈페이지, 토스 모바일 애플리케이션이 버그 바운티 대상이 된다. 리워드에 관해서는 공식 사이트에 더 잘 나와 있지만 간단하게 설명하자면 동일한 취약점이 제보된 경우에는 먼저 제보한 참가자에게 리워드가 지급된다. 가장 큰 리워드는 3,000만원이다.
오늘부터 이달 30일 오후 6시까지 공식 홈페이지를 통해 사전 신청한 사람만 참여할 수 있다. 만약 신청하지 않고 버그바운티를 진행하면 안 된다.
토스, 첫 자체 버그바운티 개최 “금융업계 보안 활성화 기대”
더 자세한 내용은 위에 사이트에 들어가서 확인해 주세요. 꼭 한번 확인 부탁드리겠습니다. 토스 감사합니다.
마무리
현재 기술의 발전 속도는 매우 빠르고 갈수록 정교해지고 고도화되는 해킹 공격에 기업, 국가들은 무방비로 공격당하거나 노출이 된다. 앞으로 더 많은 사물이 인터넷에 연결이 되며 더욱 안전한 생태계 확보를 위해 노력해야 한다. 기술의 발전 속도와 함께 보안도 함께 가야 한다고 생각한다. 국가와 기업은 보안 이슈에 대해 민감하게 반응하고 취약점을 적극적으로 개선해야 하며 장기적인 측면에서 보안 구축과. 인력에 돈 쓰는 것을 아까워하지 말아야 한다고 생각한다.
버그바운티에 대해 알아봤지만 버그 배운 티를 할 때 정말 신중하게 해야 한다. 버그바운티를 운영하는 기업이라고 해도 무작정 진행했다가는 크나큰 사고로 이어질 수도 있다. 꼭 버그바운티를 진행하기 전에 정보를 많이 찾아보고 물어보고 진행해야 한다. 아니면 Hackerone, Bugcrowd 플랫폼을 이용하여 진행해야 한다.
참고 사이트
버그바운티에 도전할 때 공격 기법을 참고할 수 있는 사이트 소개
버그바운티에 도전할 때 공격 기법을 참고할 수 있는 정보 소개
토스, 자체 버그바운티 ‘토스 버그바운티 챌린지’ 첫 개최
댓글남기기