[데이터넷] 노트북으로 기사를 검색하다가, 혹은 핸드폰으로 게임을 즐기다가 앱이 갑자기 중지되는 경험을 해 봤을 것이다. 이 같은 애플리케이션 취약점이나 버그, 보안상의 허점을 찾는 전문가들이 있다. 이들은 하드웨어와 소프트웨어에서 찾은 버그·취약점·보안 약점을 해당 벤더에 알리고 필요할 경우 공개한다.

취약점을 찾아 벤더에 제보하는 활동은 지난 15년동안 꾸준히 발전해왔다. 알려지지 않은 취약점을 찾아 해당 소프트웨어·하드웨어 벤더에 보고해 벤더가 개선하도록 함으로써 사용자들이 피해를 입지 않도록 하며, 온라인 에코 시스템을 강화할 수 있다. 더불어 보안 취약점을 찾아낸 사람은 그 노력에 적합한 보상을 받을 수 있고 인지도도 올릴 수 있다.

불확실하게 운영되는 버그바운티 절차

‘버그바운티’라고 불리는 이 프로그램이 처음 대중화됐을 때 그 절차는 단순한 편이었다. 프로젝트의 책임자가 이메일로 벤더에게 취약점 정보를 제보한다. 벤더가 해당 취약점을 인지한 후 이해하고 수정한다. 수정된 취약점 패치를 고객에게 제공해 해커들이 취약점을 이용해 공격하지 못하도록 한다.

최근 몇년사이에는 버그바운티 절차가 바뀌었다. 일부 벤더는 외부에서 알려주는 취약점 정보를 처리하고 며칠 내에 게시하는 전문팀을 보유하고 있다. 그러나 전문팀 없이 운영하는 일부 벤더는 취약점을 바로 보고해도 ‘블랙홀’에 전송하는 것과 같이 절차가 불확실하게 진행될 수 있다.

SSD 시큐어 디스클러저의 최고 보안리서처 중 한 명을 인터뷰 했는데, 그는 취약점 정보를 벤더에 공개하는 것을 포기한 하위레벨 커널 리서치 전문가이다. 그가 왜 이러한 결정을 하게 됐는지 인터뷰 내용을 자세히 소개한다. 해당 리서처가 익명을 요구했기 때문에 자세한 신상을 밝히지는 않겠다.

취약점 리서처 늘어나며 처리 과정 더뎌

그는 지난 15년동안 인포섹 세계의 일원으로서 하위레벨 커널 연구에 집중하고 있었다. 최근 모바일 기기 개발과 이에 대한 관심이 높아지면서 다양한 기기와 제조업체의 iOS와 안드로이드를 집중 분석했다. 이 분야의 전문가인 그는 6개월 전까지만 해도 벤더에 제출한 사항을 체크하고 더 필요한 사항이 있는지, 응답이 있는지를 살펴보았다. 이 과정은 한 시간 정도 소요됐고, 이를 마친 후에 실제 보안 리서치 작업을 시작했다.

벤더사의 버그바운티 프로그램이 빠르게 증가하면서 정확히 동일한 제품과 취약점을 찾으려는 커뮤니티도 늘어나고 있다. 이로인해 벤더사는 처리해야하는 리포트 업무가 늘어났고, 자연히 벤더로부터의 응답은 느려졌다.

리서처 입장에서는 연구를 위해 투자한 수백 시간에 외에 몇개월을 더 기다려야만 하는 상황이 됐다. 최초 취약점을 제공한 후 보상을 받기까지 수개월이 걸리게 돼 신뢰할수 있는 수입원이 되기 어려웠다.

수익 얻기 어려운 취약점 리서치 프리랜서

취약점을 찾는 프리랜서로 일하면서 벤더에게 공시하는 행위에 대한 보수는 낮은 편이다. 그러나 수년간 특정벤더와 협업하면서 이들 업체의 담당자를 알게 되었으며, 자기소개 등의 불필요한 절차를 생략하고 필요한 내용에 대해 커뮤니케이션 할 수 있었다. 그래서 일 처리가 빨라졌으며, 벤더가 기대하는 것과 리서처에게 도움이 될 연구과제가 무엇인지 통찰력을 갖게 됐다.

그러나 애플과 구글이 버그바운티의 주요 주체가 되면서 생태계에서 모바일과 운영체제에 집중한 리서처들이 넘쳐나기 시작했다. 보상과정은 느려졌고 때로 보상금이 없는 과정도 있었다. 이 리서처가 일했던 대부분의 벤더에서 반응이 없었으며, 보상금도 현저히 줄거나 심지어 어떤 제품은 보상금이 없었다. 모자나 티셔츠같은 기념품을 보내주기도 했다.

이에 리서처는 번거로운 리포팅이나 검증작업을 처리해주는 디스클로저 서비스로 전환했다. 단순히 이메일을 통해서 연락하는 방식이 아니라 프로젝트를 책임지는 담당자가 있어서 취약점을 찾아 안내하고 보상하는 과정에서의 만족도도 높아졌다. 또한 벤더가 보상금을 지급하기 전 먼저 결제를 받을 수 있어 수익이 개선된 측면도 있다.

자신이 발견한 취약점 가치 파악해야

리서처는 버그바운티에 참여하려는 사람이라면 반드시 관심있는 소프트웨어나 하드웨어의 범위를 정할 것을 조언했다. 작업 범위를 아우를수 있고 잘 모르는 부분을 가르쳐줄수 있는 다수의 리서처, 브로커들과의 네트워킹을 형성하는 것이 좋다. 또한 자신이 발견한 취약점이 벤더에게 흥미롭지 않을 수 있으므로, SSD와 같은 서비스를 이용해 자신이 발견한 취약점이 가치가 있는지 확인하는 것이 좋다.

코로나19로 인해 사회와 세계경제는 새로운 도전에 직면하게 됐다. 새로운 전문가와 베테랑 전문가가 사이버 보안 분야에서 프리랜서로 일하는 것을 선택하고 있다. SSD는 리서처들이 주요한 운영시스템, 소프트웨어 또는 디바이스에 영향을 미치는 취약점들을 노출하는것을 돕는다. SSD는 리서처들이 그들의 관심범위를 탐구하고 유지하며, 그 결과물을 제출하고 보상을 받을수 있도록 허브 역할을 수행하고 있다.

데이터넷 다른기사 보기