• 최종편집 2024-03-28(목)
 
펜타곤사진.png2016년 4월부터 사이버안보 차원에서 버그바운티 제도를 적용하고 있는 미국 국방부의 전경. 5각형의 건물 모양 때문에 펜타곤이란 별칭으로 불리운다.
 

미국 국방부와 육군 및 공군 등, 2016년부터 버그바운티 제도 도입하여 상당한 보안 취약점 보완 효과 거두어

싱가포르 국방부도 해킹 당하자 바로 도입, 반면 한국은 해킹 당하고도 여전히 구태의연한 보안대책으로 일관

(안보팩트=김한경 방산/사이버 총괄 에디터)
 
2016년 3월 미국 국방부가 역사상 최초로 버그바운티 제도를 도입한다고 발표했다. 버그바운티(Bug Bounty)란 이를 허락한 회사 및 기관의 제품이나 사이트 등에서 화이트 해커가 해킹을 통해 보안 취약점을 발견하면 이를 해당 조직에 통보하여 포상금을 받는 ‘보안 취약점 신고 포상’ 제도이다. 즉 국방부는 해커들에게 국방부의 웹 사이트 및 네트워크를 마음껏 뚫어보고 취약점을 제보해달라고 주문한 것이다.

‘핵 더 펜타곤(Hack the Pentagon)’으로 명명된 버그바운티 프로그램은 국방부 내 국방 디지털 서비스국(Defense Digital Service, DDS)에서 2016년 4월부터 시작했고, 배경조사를 거쳐 검증된 해커들에게만 참가자격을 부여했다. 버그바운티를 통해 발견된 취약점 때문에 중요한 업무가 마비될 것을 우려해 주요 핵심 시스템과 분리된 시스템을 대상으로 24일 동안 진행되었으며, 138개의 취약점을 찾아내 해결했다고 한다.

핵 더 펜타곤의 성공에 영향을 받은 미 육군도 2016년 11월 버그바운티 전문기업인 ‘해커원(HackerOne)’과 함께 ‘핵 디 아미(Hack the Army)’라는 버그바운티 프로그램을 진행했다. 당시 육군성 장관인 에릭 패닝(Eric Fanning)은 “미 육군의 컴퓨터 시스템에 들어올 수 있으면 얼마든지 들어와서 우리의 약함을 증명하고 상금도 타가기 바란다”고 발표했다. 하지만 완전히 공개된 버그바운티는 아니어서 신원이 확실한 화이트 해커나 보안 전문가들만 참가한 것으로 알려졌다. 총 1410명이 참가했고 250명이 취약점을 찾는데 성공했다. 416개의 취약점을 찾아냈고, 적게는 100달러에서 많게는 15,000 달러의 포상금을 받았다고 한다.

미 공군도 ‘핵 디 에어포스’라는 버그바운티를 시작해 207개의 취약점을 찾아냈고, 포상금으로 13만 달러를 지불했다고 한다. 공군은 이듬해에 두 번째 ‘핵 디 에어포스’를 실시하여 비슷한 성과를 거두었다. 미국 정부 기관들은 2016년 ‘핵 더 펜타곤’을 시작으로 버그바운티 제도를 활발하게 도입하고 있으며, 지금까지 3천개 이상의 취약점을 찾아 보완했다고 전해진다.

금년 4월초 미국 국방부가 다섯 번째 버그바운티를 시작한다고 발표했다. 이번 프로그램은 4월 29일까지 진행되며, 국방부에 소속된 수백만 명이 전 세계적으로 사용하는 대규모 사업용 시스템이 대상이 될 것이라고 한다. 이번 프로그램을 이끄는 잭 메서(Jack Messer)는 “현재까지 국방부는 해커들과 함께 손을 잡고 중요한 시스템을 안전하게 보호하는데 큰 성공을 거둬왔다”고 말했다.

미국 국방부의 버그바운티 프로그램에 참가하려면 미국 납세자이거나 영국, 캐나다, 호주, 뉴질랜드에서 공식적으로 월급을 받고 채용된 사람이어야 한다. 미국 정부 및 군에 소속되었거나 혹은 계약을 맺고 일하는 사람들도 참가할 수 있으나 포상금은 받지 못한다. 국방 디지털 서비스국의 레이나 스테일리(Reina Staley)는 “국방부가 실시하는 버그바운티 프로그램은 기관 외부에 있는 전문가들이 안전하고 합법적으로 국가 주요 기반시설의 보안 문제를 점검함으로써 애국을 실천할 수 있는 기회가 되기도 한다”고 덧붙였다.

한편, 지난해에 일부 군사시스템이 해킹 당했던 싱가포르 국방부도 이에 대한 후속 조치로 금년 1월초 버그바운티 프로그램을 추진하겠다고 발표했다. 싱가포르 국방부도 미 육군처럼 HackerOne을 통해 전 세계 300여 명의 화이트 해커를 초청하여 8개의 정부 웹 서비스를 대상으로 버그바운티를 실시하겠다고 한다. HackerOne의 CTO 알렉스 라이스(Alex Rice)는 “보안에 성숙한 조직일수록 외부 전문가의 도움을 얻는 데 원활하다”며 “미국 국방부도 해마다 버그바운티를 진행하면서 보안의 혁신을 이뤄왔다”고 설명했다.

구글, 페이스북, 마이크로소프트 등 글로벌 IT 기업에서는 이미 버그바운티 제도가 굉장히 활발하게 운영되고 있다. 특히 구글은 두둑한 포상금을 지급하는데, 지금까지 취약점 1건에 대한 포상금 중 최고액은 112,500달러로 중국의 인터넷 보안업체 직원이 받았다. 그들이 버그바운티 제도를 지속적으로 유지하는 이유는 해당 제도를 통해 신고 받은 보안 취약점을 신속하게 보완하면 피해를 사전에 예방할 수 있기 때문이다.

실제로 외국의 경우, 적은 포상금으로 치명적인 취약점을 발견한 사례가 다수 있고, 기업의 경우 버그바운티를 통해 고객들로부터 보안에 대한 신뢰를 얻어 긍정적인 이미지를 유지할 수 있다. 이런 효과 때문에 미국은 버그바운티를 도입하는 조직이 크게 증가하는 추세이고, 사기업은 물론 정부기관들도 버그바운티를 점차 도입하고 있다고 한다.

반면, 한국에서는 한국인터넷진흥원(KISA), 삼성전자, 한글과컴퓨터 등에서 버그바운티 제도를 운영하고 있으나 자사의 실수나 문제점이 밝혀진다는 두려움과 버그에 대한 소극적인 대처, 포상금 지급 한계 등으로 인해 확산되지 못하는 실정이다. 한국 국방부 또한 이들과 다르지 않아 2016년 인터넷과 분리된 국방망이 해킹되는 초유의 사태를 겪었음에도 버그바운티 제도를 도입할 기미는 보이지 않는다.

국방부는 아직까지 국방망이 언제 어떻게 뚫렸는지, 얼마나 많은 내용이 유출되었는지 정확히 모른다. 보안 전문가들은 “통상 망분리를 했으니 안전할 것이라고 생각하나, 폐쇄망은 정보의 전달과 가공을 위해 다수의 접점을 가질 수밖에 없어 접점 관리가 무엇보다 중요하다”고 말한다. 또 “공격의 패러다임은 바뀌었는데, 보안 대책은 최신 백신 업데이트, 서버 및 PC 패치 철저, 불법 파일 다운로드 금지, 첨부파일 실행 금지, 이상한 사이트 방문 금지 등 2003년부터 거론되던 내용만 제시한다”며 안타까움을 표시했다. 

문제의 원인을 제대로 파악하지 못하면 올바른 대책은 나올 수 없다. 한국군이 운용하는 네트워크와 웹사이트들이 얼마나 보안에 취약한지 파악하는데 버그바운티 보다 더 좋은 제도는 없다. 한국군은 언제쯤 훈련 상황으로 해킹을 연출하는 쇼에서 벗어나 미군처럼 보안에 대한 실질적인 대책을 강구할 수 있을까? 사이버 안보가 중요하다고 말은 하면서도 일부 실무자 손에 맡겨놓고 무엇을 해야 할지 모르는 국방 정책결정자들의 모습이 그저 안타까울 따름이다.

김한경200.png
 
안보팩트 방산/사이버 총괄 에디터 겸 연구소장
광운대 방위사업학과 외래교수 (공학박사)
광운대 방위사업연구소 초빙연구위원
한국안보협업연구소 사이버안보센터장
한국방위산업학회/사이버군협회 이사
前 美 조지타운대 비즈니스스쿨 객원연구원
김한경 방산/사이버 총괄 에디터 겸 연구소장 기자 khopes58@securityfact.co.kr 이 기자의 다른 기사 보기
태그

전체댓글 0

  • 61707
비밀번호 :
메일보내기닫기
기사제목
[사이버 투시경] ⑧ 미군이 버그바운티 제도를 전격 도입한 이유
보내는 분 이메일
받는 분 이메일