최근에 보안을 공부하는 후배들을 보면 버그헌팅이라는 단어를 너무 쉽게 이야기한다. 세미나를 통해, 인터넷을 통해 버그헌팅을 하여 많은 수익을 벌어들인 사례들 때문인 거 같다. 버그헌팅은 말그대로 '허가된 시스템에서 새로운 버그를 찾아내어 보상을 받는 것'이다. 보상프로그램을 운영하는 회사는 전체 서비스 대비로 하면 아주 극소수이다. 국내는 손가락 안에 들 정도며 외국도 서비스의 크기를 비교하면 국내와 만만치 않다. 단지 페이스북, 마이크로소프트, 애플 등 전 세계 IT를 대표하는 서비스가 보상프로그램을 운영하고 있으므로 왠지 외국에는 너무 보편화하여 있는 것처럼 보일 뿐이다. 물론 포상프로그램 환경이나 규모가 국내보단 훨씬 좋은 것은 사실이다. 하지만 우려스러운 것은 모의해킹업무와 버그헌팅을 너무 달리 생각하고 있다.
모의해킹업무는 말 그대로 진정한 버그헌팅이다. 고객사 입장에서는 자신의 서비스에 도출되는 취약점은 모두 새로운 것이다. 취약점을 알고 있었는데 설마 그대로 방치를 했을까? 나름대로 방어를 하고 있었는데 모의해 커가 들어와서 취약점들을 찾아낸다면 버그헌팅을 한것이다. 고객들은 모의해킹을 의뢰하고 그 기간에 합당한 보상을 해준다. 의뢰한 컨설팅업체에게 어떤 결과가 나오든 등급산정에 맞게 보상을 한다. 버그헌팅과 다른점은 결과가 한 개도 나오지 않아도 비용을 준다. 최선을 다해 침투테스트를 해도 ‘안전합니다’라는 보고서가 대가의 결과이다. 반대로 수백 개의 취약점을 찾아내도 같은 비용을 준다. 물론, 결과가 너무 좋으면 고객 신뢰를 얻고 다음 사업도 유리한 위치에 있게 된다.
우리가 페이스북의 취약점을 찾아내어 돈을 받는 것과 고객의 서비스 취약점을 찾아내고 돈을 받는 것과 무엇이 다를까? 접근하는 기술은 전혀 다를 게 없다. 고객사의 취약점을 진단할 때는 우회 기법을 사용하지 않나? 신규공격들의 패턴을 익혀 반영하지 않나? 그냥 항목만 바라보며 점검하듯이 한다면 그것은 당연히 모의해킹도 아니고 버그헌팅이라 할 수 없다.
비용(급여)이라는 한 측면에서만 생각하자. 우리는 회사와 직종을 선택할 때 나에게 지급되는 비용을 같이 고민한다. 인터넷에 떠돌고 있는 ‘열정페이’만 받고 일할 수는 없다. 모의해킹 전문 업체에 취업을 하면 정기적으로 월급이 나오고 복지를 받을 수 있다. 다른 것에 신경 쓰지 않고 고객사의 취약점을 찾아내는 데 집중만 하면 된다. 여러분이 팀장급이 되지 않는 이상은 새로운 사업을 가져오라고 압박하지 않는다. 취약점이 나오지 않아 고객에서 불만을 표시한다면, 우선 팀장님이 책임을 지고 문제를 해결한다. 버그헌팅 프로그램을 활용하여 현재 자신이 받을 수 있는 급여 이상을 받을 수 있다고 생각하면 버그헌팅을 선택해도 된다. 물론 ‘지속적인 급여’라는 조건도 생각해야 한다.
이전 글 : 이전글이 없습니다.
다음 글 : 버그헌팅 프로그램을 하기 전에 '윤리'
최신 콘텐츠