메뉴 바로가기 검색 및 카테고리 바로가기 본문 바로가기

한빛출판네트워크

IT/모바일

버그헌팅 프로그램을 하기 전에 '윤리'

리얼타임 eBook

|

2016-05-23

|

by 조정원

20,201

해킹 공부를 한다면 선배들이 먼저 떠오르는 단어 중 하나는 ‘윤리’이다. 다른 직종도 업무를 하면서 윤리의식이 필요하지만, 취약점 진단에 사용되는 모든 진단도구와 방법론이 ‘양날의 칼’이기 때문에 마음속에 ‘윤리’단어를 새겨 넣고 시작해야 한다. 

 

나도 모의해킹 강의를 하기 전에 항상 윤리교육을 먼저 한다. 이론적인 윤리교육만 부분만 다루면 흥미가 떨어져, 최신 해킹 뉴스와 더불어 이와 관련된 기술을 같이 살펴본다. 지금 이야기할 ‘버그 헌팅 취약점’이야기를 중점으로 한다. 

 

버그헌팅도 법적인 테두리 안에서 수행을 해야 해야 하는데, 자신을 과시하기 위한 목적으로 버그를 찾아내는 사례가 많아졌기 때문이다. 국내에서도 일부 업체에서 버그헌팅 프로그램을 운영하지만, 매우 일부이며 사업이 잘되는(돈을 잘 버는) 회사에서 몇 타이틀을 걸고 진행하는 경우가 있다. 앞으로도 국내 실무자들이 쉽사리 이 사업을 추진할거라 생각하지 않고, 몇 메이저 대회를 통해 진행이 될 거라 생각한다.

 

fig1.jpg

그림 1‑1 한국인터넷진흥원 신고 포상제 내용

 

몇 기관에서 진행되는 포상제는 위 그림에서 보듯이 운영되고 있는 서비스를 제외하고 로컬PC에서 동작하는 애플리케이션을 한정하고 있다. 이것을 달리 해석하면 좋은 의도에서 취약점을 찾다가 서비스 장애가 발생하거나, 개인정보가 의도되지 않게 노출이 되면 그 책임은 수행한 자신에게 있다는 의미이다. 

 

취약점 포상제 제도를 공식적으로 하고 있는 기업에서도 버그헌팅을 해야 하는 도메인은 정해져 있고, 악의적인 의도로 중요정보에 접근하게 되면 불법적인 행위로 판단한다. 포상을 하기 전에 로그를 확인하여 악의적인 행위여부를 평가 한다.

 

fig2.jpg

그림 1‑2 ActiveX 취약점 포상금 지급 사례

 

fig3.png

그림 1‑3 IoT 취약점 집중 신고 기간 운영

 

최근에 그림 1‑2와 그림 1‑3과 같이 한국인터넷진흥원에서 최신이슈에 맞게 포상제 프로그램을 진행하는 현상이 있다. 정기적으로 이렇게 프로그램을 개설하는 것은 좋지만, 국가차원이 아니라 사기업에서도 프로그램을 잘 만들어 많은 포상제 프로그램이 개설되면 보안시장에 긍정적인 효과를 줄 것이라 생각한다.

 

해외에도 버그헌팅프로그램을 운영하는 서비스가 있다. 페이스북, 구글, MS, 오라클 등 IT를 조금이라도 안다면 모두 아는 서비스이다. 인지도도 국내보다 훨씬 높기 때문에 여기에서 버그를 찾아 돈도 받고 자신을 알릴수 있어 일석이조이다. 그림 1‑4를 보면 버그헌팅 프로그램에서 포상을 받은 몇 사례이다. 페이스북과 구글메일 서비스에서 발생했던 취약점이다. 

 

페이스북에서는 여러분이 많이 알고 있는 OWASP TOP 10에서 제일 하단에 있는 URL 강제이동(URL Redirection, URL Forwording)이다. 쉽게 지나칠 수 있는 취약점이에도 불구하고, 1500불(한화 170만원정도)의 포상금을 받았다. 그 다음 사례를 보면, 구글에서 운영되는 구글리서치 서비스에 메일 기능이 있다. 이 메일 기능에 역시나 OWASP TOP 10에 존재하는 삽입 XSS(Sotred XSS) 취약점이 발생한 경우이다. 웹 브라우저를 통해서는 발생되지 않은 스크립트가 모바일 웹 브라우저에서는 발생한 경우이다. 사용자에게 큰 위협을 줄 수 있기 때문에 5000불(한화 600만원정도) 포상이 지급되었다. 패치가 된 후에 이렇게 공개되어서 버그헌팅을 찾는 게 쉬운 일이라고 생각할 수 있지만, 이 취약점을 찾아내기 위해 몇 일, 몇 달 동안 많은 시도 끝에 발견되었을 것이다. 

 

fig4.jpg

그림 1‑4 버그헌팅 금액 사례

 

해킹기술을 배우고 나면 남들에게 보여주고 싶은 마음은 누구나 가지게 된다. 해킹뿐인가 무엇을 배우고 그 가치성을 더 높여 누군가에 전달하는 것은 정상적이다. 하지만, 합법적인 것 안에서 진행되어야 한다. 해킹기술은 무심코 사용하면 자신도 모르게 이 범위를 넘어버리게 된다. 오히려 자신을 컨트롤하기 위해 더 배우라고 한다. 

 

더 많이 알아야 이런 행위들이 잘못 쓰이면 얼마나 큰 사고가 터지고 자신에게 불어 닥칠 것을 예상할 수 있기 때문이다. 업무적으로 모의해킹 컨설팅을 많이 해본 사람들은 이런 위험을 잘 알고 있다.

 

 

fig5.jpg

그림 1‑5 범죄 사례들

 

 

버그헌팅 프로그램 운영하는 사이트 목록

https://bugcrowd.com/list-of-bug-bounty-programs

 

버그헌팅 프로그램을 운영하는 사이트 300개가 넘게 등록이 되어있다. 국내도 버그헌팅에 대한 관심은 커졌다. 다른 사람들보다 먼저 취약점을 찾는다는 기쁨과 취약점 영향도에 따라 목돈을 벌 수 있다는 장점도 있다. 버그헌팅 프로그램도 존재하지 않는 사이트에 자기과시 목적으로 해킹을 시도하는 불법행위를 하지 말고, 포상제 프로그램이 존재하는 사이트에 정당하게 시도하시기 바란다. 

 

fig6.jpg

 

fig7.jpg

 

 

참고. The Complete List of Bug Bounty Programs 2019

 

댓글 입력
자료실