[삼성 SDS 인사이트] 기업과 화이트해커를 연결하는 버그바운티 플랫폼, 삼성SDS 사내벤처 해킹존

https://www.samsungsds.com/kr/insights/sds_hackingzone.html?moreCnt=0&backTypeId=&category= 

기업과 화이트해커를 연결하는 버그바운티 플랫폼, 삼성SDS 사내벤처 해킹존 | 인사이트리포트 |

 

해킹존이란?

 보안 문제를 해결하고자 하는 기업과 화이트 해커를 연결해 주는 플랫폼

기업이 취약점 점검을 요청하면 해킹존에 등록된 수백 명의 화이트 해커가 점검을 요청한 기업의 보안 취약점을 찾아내 취약점 분석 리포트를 제공한다. 대규모 인원이 동시에 보안 취약점을 찾을 수 있어, 기존 2~3명이 투입되는 소규모 보안 점검보다 점검 효과가 뛰어나고 비용도 효율적이라는 장점이 있다.

 

해킹존의 시발점

 기존의 소규모 보안 점검 업무를 진행하면서 더욱 효과적이고 효율적인 보안 점검 방법을 고민하다 버그바운티(bug bounty) 방식의 보안점검을 기획했다.

 

버그바운티 플랫폼이란?

 버그바운티는 '취약점 보상 제도(VRP, Vulnerability Reward Program)'을 뜻한다. 기업과 보안전문가를 연결하는 플랫폼으로, 기업은 다양한 보안 전문가로부터 취약점을 제보받고 보상함으로써 가장 효율적인 비용을 높은 효과의 취약점 점검을 받을 수 있다.

 버그바운티를 시행할 기업에서 공지를 하면 수많은 화이트 해커들이 취약점을 찾아 제보한다. 기업에서는 제보 내용을 재현/분석/평가하여 유효한 취약점이라고 판단되면 합당한 포상금을 지급하는 방식이다.

 

전통적 해킹 vs 버그바운티

- 전통적인 모의해킹 보안점검: 소수의 점검 인력이 1~2주 정도 투입되어 취약점 점검. 성과에 관련 없이 비용을 청구하는 형태. 점검 인원의 실력을 보장할 수 없다.

- 버그바운티: 대규모 점검인력, 기간 제한 없이 상시로 취약점 점검, 성과에 비례하는 포상금 지급

 

버그바운티에 참여하는 화이트 해커 규모

 해킹존에는 1,500여 명의 화이트 해커가 가입되어 있다. 한 개의 버그바운티 프로그램이 오픈되면 평균 100~300명 가량 참여하며, 22년 4월 기준 유효한 취약점 제보로 인정받아 포상금을 받은 화이트 해커는 100여명 정도다.

 

버그바운티 서비스 진행 절차

 기업고객이 해킹존에 '기업 고객'으로 가입 > 버그바운티 프로그램 개설 > 화이트 해커로부터 취약점 제보 > 해킹존 운영진이 제보 내용을 재현, 분석 및 평가하여 유효한 취약점 선별 > 기업 고객에게 제공 > 기업 담당자는 제공받은 유효 취약점을 바탕으로 포상 금액 결정 > 화이트 해커에게 포상금 지급

 

국내외 버그바운티 도입 현황

 해외에는 기업 버그바운티 참여가 보편화 되어 있다. 의무적으로 취약점을 공개 제보 받고록 법제화하는 국가도 있어 버그바운티에 참여하는 기업이 아주 많다. 반면 국내에는 버그바운티 기업이 손에 꼽을 정도로 적은 것이 현실이다.

 

국내향 버그바운티 플랫폼

 우리나라 버그바운티 문화와 인식은 성숙 단계가 아니며 기업 보안문화는 매우 보수적이고 폐쇄적이다. 실제로 화이트 해커가 버그바운티 규칙을 어겨서 문제를 일으키기도 하기에 기업 고객이 버그바운티를 위험하게 생각하고 기피하는 경우가 많다. 따라서 버그바운티를 무조건 권장하는 것이 아닌, 안전한 환경에서 버그바운티를 할 수 있게 만들어주기 위해 가상환경을 사용했다. 해킹존은 가상환경 안에서 가상 서비스를 가상 데스크톱으로 점검하는 기능을 제공한다. 점검 대상이 가상 서비스이므로 기업에게는 안전함, 화이트 해커에게는 자유로움을 줄 수 있다.