해커들의 돈벌이, 버그바운티(Bugbounty)
목차
버그바운티(Bug Bounty)
최근에 회사에 신입이 들어오고 나서 이런저런 이야기를 나누다가 우연히 나왔던 주제인데, 보안 쪽으로 공부를 시작하려는 사람이나, 궁금한 사람들이 있을 수 있을 거 같아서 정리해서 티스토리에 올려보려고 한다.
버그바운티(Bug Bounty)란 KISA에선 취약점 신고 포상제로 알려져 있으며, 단어의 뜻 그대로 특정 사이트나 프로그램에서 버그나 취약점을 찾아서 신고하게 되면 심각도에 따라 업체에서 돈을 지급하는 것을 말한다.
흔히 뉴스에서 많이 나오는 페이스북, 구글 등을 해킹하고 신고하여 큰 돈을 받았다는 이야기나, 새로운 방식의 방화벽을 만들었으니 공격을 성공하는 사람에게 얼마를 주겠다고 하자마자 뚫렸다?라는 내용의 기사 내용이 이 버그바운티와 관련된 내용이 많다.
예를 들어 이런 뉴스이다.
https://v.daum.net/v/20210916030112402
구글 해킹한 해커.. 올해 40억원 벌었다
구글을 해킹한 해커들은 올해 구글에서 350만달러(약 40억9500만원)를 받았다. 구글은 왜 자사 시스템을 해킹한 해커에게 돈을 준 것일까. 11일(현지 시각) 미국 경제지 포브스에 따르면, 구글과 페
v.daum.net
버그바운티(Bug Bounty)의 장점과 단점
버그바운티의 장점으로는 첫째로 성공한 공격의 레포트를 받아 인정된 공격에만 금액을 지급하게 되고, 둘째로 관심 있어하는 다양한 사람들에게 다양한 취약점 공격을 받아볼 수 있다. 셋째로 취약점 보고서를 받은 후 해당 취약점이 유효한지 조치하는데 얼마나 걸리는지를 산정하여 조치 후 금액을 지불하는 등, 회사의 정책에 따라 위험도가 큰 취약점의 경우 해킹 피해를 입기 전 빠른 조치를 할 수 있다. 이 세 가지가 장점이 될 수 있을 거라고 생각한다.
취약점과 버그를 찾기 위해 기업에서 보안업체에게 맡겨 취약점을 진단하거나 모의해킹을 맡기게 되는 경우, M/M라고 하여 프로젝트 기간과 사람 당 인건비를 지불하게 된다. 또한 취약점을 진단하는 사람의 연차과 기술 능력에 따라 취약점을 많이 찾을 수 도 있고, 찾지 못할 수도 있기 때문에 취약점 진단을 하는 사람에 따라 초급, 중급, 고급을 나누게 되며, 당연히 등급에 따라 금액도 다르게 정해진다.
위 처럼 진행을 하는 것보단, 많은 사람들이 다양한 공격으로 공격을 시도하고 성공한 공격에 대한 것만 지불한다면 금액이 더 줄어들 수 있지 않을까?
단점으로는 아무래도... 버그바운티를 진행하는 회사에서 많은 사람들의 공격 시도와 전달받는 보고서와 메일을 검토할 여유가 있어야 한다는 점일 거 같다. 이 단점을 보완하기 위해 버그바운티 플랫폼과 KISA가 중간에서 플랫폼의 역할을 하게 된다.
국내 버그바운티(Bug Bounty)
버그바운티의 경우, 커다란 회사에선 자체적으로 운영하는 경우도 있고, KISA가 제보를 받는 경우도 있으며 버그바운티를 운영하는 플랫폼이 있다.
먼저, 자체적으로 버그바운트를 운영하는 국내 회사는 크게 네이버, 카카오, 리디북스 등이 있다.
네이버 버그바운티 : https://bugbounty.naver.com/ko/
Naver Bug Bounty
네이버 버그 바운티 프로그램은 네이버 서비스의 취약점을 조기에 찾아 사용자들에게 안전한 서비스를 제공하기 위한 프로그램입니다. 전 세계의 보안 전문가들의 도움으로 네이버 서비스의
bugbounty.naver.com
카카오 버그바운티 : https://bugbounty.kakao.com/home#bounty
카카오 버그바운티
bugbounty.kakao.com
리디북스 버그바운티 : https://ridi.dev/bounty.html
리디 버그 바운티 프로그램
리디 버그 바운티 프로그램 웹사이트
ridi.dev
네이버의 버그바운티 페이지로 예를 들어보면, 공격이 가능한 범위, 인정 되는 공격, 인정되지 않는 공격, 취약점 심각도 별 인정 금액등이 표기되어 있다. 버그바운티를 진행하기 전 꼭 체크해 보야하는 내용들이다.
(범위를 벗어나거나 인정되지 않는 공격, 서비스에 영향을 끼치는 자동화 공격등을 하는 경우 경고 또는 처벌까지 받을 수 있다.)
https://knvd.krcert.or.kr/rewardExplain.do
보안 취약점 정보 포털
Home > 신고포상제 > 보안 취약점 신고포상제 보안 취약점 신고포상제 보안 취약점 신고포상제 보안 취약점 신고포상제란? 소프트웨어 신규 취약점을 발굴하여 신고한 사람에게 포상금을 지급하
knvd.krcert.or.kr
KISA에서도 일부 기업들을 대상으로 버그바운티를 운영하고 있다.
그 외에도 유명한 국내 버그바운티 플랫폼은 (구)해킹존 파인더갭, 티오리에서 운영하는 패치데이가 있다.
파인더갭 : https://findthegap.co.kr/
파인더갭 버그바운티, findthegap bugbounty
파인더갭 | 버그바운티 플랫폼 Find The Gap Bugbounty
findthegap.co.kr
패치데이 : https://patchday.io/programs
PatchDay
최고의 해커들이 만든 버그바운티 플랫폼
patchday.io
해외 버그바운티(Bug Bounty)
해외 버그바운티를 자체적으로 운영하는 회사는 크게 페이스북, 구글등이 있으며, 제일 유명한 버그바운티 플랫폼은 아무래도 해커원(hackone)이다.
누구나 한번쯤 들어본 기업들은 해커원을 통해 버그바운티를 진행하고 있다. 위 스크린샷에 포함된 업체 외에도 많은 업체들이 버그바운티를 운영하고 있다.
금액은 뭐... 우리나라에서 운영하는 업체들과는 비교도 안된다... 그 많은 찾기도 힘들고 잘 안나오겠지만...
마치며...
언젠가부터 보안, 해킹은 천재들 혹은 똑똑한 사람들만 하는 것이라는 인식이 많이 강해진 거 같다. 실제로 내가 대학교 1학년 신입생 OT에서 화이트해커, 보안전문가를 외치던 친구들이 많이 있었는데... 빠르면 1학년 2학기 늦어도 2학년이 넘어가면서 거의 대부분 보안 쪽을 포기하고 진로를 바꿔버린다. 공부해야 하는 양이나, 배워야 할 테크닉도 많고 해킹과 보안이 서로 창과 방패로써 서로가 서로를 발전시키면서 계속 공부해 나가야 할거 같다는 이유로 말이다.
버그바운티 또한, 뉴스에 나오는 구글 해킹, 페이스북 해킹으로 몇억씩 받는 사람들만 언론에 비춰지고 똑똑하고 천재들만 찾을 수 있고 돈을 벌 수 있는 시장이라는 이야기가 많이 나온다.(물론... 금액이 큰 건은 천재들만 찾을 수 도 있지만...)
하지만 그 일부에는 천재가 아닌 우리들도 찾을 수 있는 취약점들은 꾸준히 나온다. 기본 XSS, SQLi 뿐만 아니라 IDOR, 인증 우회, 권한 우회, 정보노출 등 말이다.
또한, 위 사진처럼 패치데이와 해커원(hackerone)에서는 취약점 조치가 완료된 보고서의 경우 공개로 돌려놓는 경우가 많다. 다른 사람의 보고서와 공격 포인트를 보면서 공부가 될 수 도 있으므로 본인의 공부를 위해서라도 꾸준히 방문하고 확인하고 시도해 보는 것이 추천한다.
'IT 기타 정보' 카테고리의 다른 글
| HTML의 정의와 분류 (0) | 2023.03.28 |
|---|---|
| 티스토리 구글 애드센스 신청방법, 승인 거절 후 검토요청 (0) | 2023.03.01 |
