hacker - Feb. 22, 2017, 3:39 p.m.
먼저 웹서비스 버그바운티를 얘기해보고자 합니다. 현재 우리나라는 웹 서비스 버그바운티를 제대로 진행하고 있는 곳이 없습니다. 심지어 대기업도요. 왜 그럴까요? 조금만 생각해보시길 바랍니다. 통상적으로 버그바운티를 통해 취약점을 패치하는것 보다 설계단계에서부터 취약점을 없애는 게 적은 비용이 들어갑니다. 하지만 우리나라의 웹사이트들은 보안에 대한 인식이 없기 전 개발된 것이 많습니다. 그래서 처음 설계하는 단계에서조차 보안에 대한 생각 없이 개발 한 것들이 대부분입니다. 이러한 상태에서 버그바운티 제도를 도입하려고 하면 어떨까요? 해커원에서 $500씩 쳐주는 XSS가 하루에도 몇백 건씩 제보가 들어올 겁니다. 바운티 제도를 운영한 지 하루 만에 $25,000을 지급해야 되는 상황이 발생합니다. 타격이 큰 취약점(SQLI, RCE)에 대해서는 더 많은 돈을 지급해야 됩니다. 신고를 받았다고 한정 몇백 개의 취약점을 패치를 하려면 또 많은 양의 돈이 필요합니다. 기업가 입장이 돼봅시다. 버그바운티를 운영하여 발생하는 기회비용과 가만히 앉아서 들어오는 공격만 막는 기회비용 중 어느 게 더 클 것 같습니까? 망가질 때로 망가진 사이트에서 버그바운티를 운영한다는 것 자체가 불가능할 것이라고 생각합니다. 진짜 K-버그바운티를 새로 제도화해서 운영해야 된다고 생각합니다. 예를 들어 등록된 해커에게 발급된 VPN을 통해서만 공격이 가능하다든지.. ------------------------------------------------------------------------------------- K사의 버그바운티는 세금으로 운영된다고 알고 있습니다. 정해진 예산 속에서는 수요와 공급의 법칙이 따를 수밖에 없어요. 아무리 좋은 취약점이라도 그 취약점이 많아지면 그에 따른 가격이 달라질 수밖에 없다는 거죠. 문제 되는 건 이게 아닙니다. 제가 겪은바, 들은 바에 이하면, 누가 봐도 같은 레벨의 취약점인데 포상금의 액수 차이가 심하게 날뿐더러, 웹 솔루션 메인 페이지를 바꿀 수 있는 취약점도 30만 원을 줬습니다. 이 부분에 대해서는 정확하게 어떤 근거에 의해서 심사되었는지를 공개할 필요가 있다고 생각합니다.