본문으로 이동

버그 바운티 프로그램

위키백과, 우리 모두의 백과사전.

버그 바운티 프로그램(bug bounty program) 또는 취약점 제보 포상 프로그램은 많은 웹사이트, 조직 및 소프트웨어 개발자가 개인에게 소프트웨어 버그, 특히 보안 버그 취약점과 관련된 소프트웨어 버그를 보고한 것에 대한 인센티브와 보상[1]을 제공하는 제도이다.[2] 금전적 보상이 제공되지 않는 경우에는 취약점 공개 프로그램(vulnerability disclosure program)이라고 불린다.[3][4]

크라우드소싱 모의 침투 테스트의 한 형태로 간주될 수 있는 이러한 프로그램은 버그 바운티 헌터,[5] 화이트햇, 또는 윤리적 공인 해커[6]라고 불리는 비소속 개인에게 취약점을 찾아 보고할 권한을 부여한다.[3] 개발자가 일반 대중이 알기 전에 버그를 발견하고 패치하면, 이를 악용한 사이버 공격은 더 이상 불가능해진다.[3]

버그 바운티 프로그램 참가자들은 다양한 국가 출신이며, 주요 동기가 금전적 보상이지만, 참여에는 다양한 다른 동기가 있다. 해커들은 소프트웨어 공급업체에 판매하는 대신 중개인, 스파이웨어 회사 또는 정부 기관에 미공개 제로 데이 취약점판매하여 훨씬 더 많은 돈을 벌 수 있다. 버그 바운티 프로그램의 범위를 벗어나 취약점을 찾으려 한다면, 사이버 범죄 법률에 따라 법적 위협에 직면할 수도 있다. 버그 바운티 프로그램의 규모는 2010년대 후반에 급격히 증가했다.

마이크로소프트, 페이스북, 구글, 모질라, 유럽 연합,[7] 그리고 미국 연방 정부[8]를 포함한 일부 대기업 및 조직은 자체 버그 바운티 프로그램을 운영하고 있다. 다른 회사들은 해커원과 같은 플랫폼을 통해 버그 바운티를 제공한다.

역사

[편집]

1851년, 알프레드 찰스 홉스(Alfred Charles Hobbs)는 자물쇠를 따는 대가로 2만 달러(인플레이션 조정)를 받았다.[9] 1995년, 넷스케이프는 넷스케이프 내비게이터 2.0 브라우저의 베타 버전에 대해 최초의 버그 바운티 프로그램을 시작했다.[9][10][11] 이후 다른 기업들도 자체 버그 바운티 프로그램을 개설했다. 이러한 프로그램들은 전문가들이 버그 바운티를 더 쉽게 찾을 수 있도록 크라우드소싱 플랫폼에 의해 보완되었다.[9]

동기

[편집]
악의적인 행위자가 먼저 발견했을 때의 취약점 타임라인. 회사가 먼저 취약점을 인지하면 악의적인 행위자가 해당 취약점을 악용하는 것을 방지하는 패치를 개발할 수 있다.[3]

개발자들은 의도한 대로 완벽하게 작동하는 제품을 제공하는 것을 목표로 하지만, 사실상 모든 소프트웨어에는 버그가 포함되어 있다.[12][13] 버그가 보안 위험을 초래하면 취약점이라고 불리며, 공급업체가 이를 인지하지 못하면 제로 데이라고 불린다.[14][15] 취약점은 악의적인 행위자에 의해 악용될 가능성에 따라 다양하다. 일부는 전혀 사용될 수 없지만, 다른 일부는 서비스 거부 공격으로 장치를 방해하는 데 사용될 수 있다. 가장 가치 있는 취약점은 공격자가 사용자 몰래 자신의 코드를 주입하고 실행할 수 있도록 한다.[16] 공격으로 인한 피해는 심각할 수 있다.[17]

보안을 개선하려는 조직은 시스템이 침해될 수 있는지 확인하기 위해 테스트한다.[13] 많은 조직이 모의 침투 테스트를 수행하는 외부 서비스와 계약하지만, 이는 모든 취약점을 찾는 데 충분하지 않아 일부 회사는 크라우드소싱 정보를 보완한다.[3] 많은 회사가 서드 파티 보고서에 회의적이며,[18] 이러한 프로그램이 악의적인 활동을 증가시키거나, 너무 많은 비용이 들거나, 사기성 보고서를 유발할까 우려한다. 또는 버그 바운티 프로그램은 애플리케이션 보안에 대한 자신감이나 다른 보안 조치에 대한 선호 때문에 무시될 수도 있다.[19] 일부 연구에 따르면 버그 바운티 프로그램을 통해 발견된 취약점당 비용이 취약점 검색을 위해 소프트웨어 개발자를 고용하는 것보다 훨씬 저렴하다는 것이 밝혀졌다.[18]

보상

[편집]

제공되는 보상의 규모는 회사의 규모, 취약점 발견의 난이도, 그리고 악용될 경우 그 영향이 얼마나 심각할 수 있는지와 같은 요소에 따라 달라진다.[5] 성공적인 버그 바운티 헌터는 종종 소프트웨어 개발자보다 더 많은 돈을 벌 수 있다.[20] 많은 버그 바운티 프로그램은 웹 애플리케이션에 중점을 둔다.[21]

2013년 8월, 한 팔레스타인인 컴퓨터 과학 학생이 누구든지 임의의 페이스북 계정에 비디오를 게시할 수 있는 취약점을 보고했다. 학생과 페이스북 간의 이메일 통신에 따르면, 그는 페이스북의 버그 바운티 프로그램을 사용하여 취약점을 보고하려고 했지만, 페이스북 엔지니어들이 학생을 오해했다. 나중에 그는 마크 저커버그의 페이스북 프로필을 사용하여 취약점을 악용했고, 그 결과 페이스북은 그에게 포상금을 지급하기를 거부했다.[22]

페이스북은 보안 버그를 발견하고 보고하는 연구원들에게 맞춤형 "화이트햇" 직불 카드를 발급하여 보상하기 시작했으며, 이 카드는 연구원들이 새로운 결함을 발견할 때마다 자금을 충전할 수 있었다.[23]

해커에게 주어진 페이스북 "화이트햇" 직불 카드 (보안 버그를 보고한 연구원에게 지급됨)

2016년, 우버는 한 개인이 전 세계 5,700만 우버 사용자의 개인 정보에 접근하는 보안 사고를 겪었다. 이 개인은 데이터를 공개하는 대신 파기하는 대가로 10만 달러의 몸값을 요구했다고 전해진다. 의회 증언에서 우버 CISO는 회사가 10만 달러를 지불하기 전에 데이터가 파기되었음을 확인했다고 밝혔다.[24] 우버의 최고 정보 보안 책임자는 2016년에 이 사건을 공개하지 않은 것에 대해 유감을 표명했다. 이에 대한 대응의 일환으로 우버는 해커원과 협력하여 선의의 취약점 연구 및 공개를 설명하기 위해 버그 바운티 프로그램 정책을 업데이트했다.[25]

야후!는 야후!에서 보안 취약점을 찾아 보고한 보안 연구원들에게 야후! 티셔츠를 보상으로 보내준 것에 대해 심한 비난을 받았다.[26] 2013년 Ecava산업 제어 시스템을 위한 첫 번째 버그 바운티 프로그램을 출시했을 때,[27][28] 현금 대신 상점 크레딧을 제공하여 보안 연구원들에게 동기를 부여하지 못한다는 비판을 받았다.[29] Ecava는 이 프로그램이 처음에 제한적이며 자사의 ICS 소프트웨어인 IntegraXor SCADA 사용자들의 인명 안전 관점에 초점을 맞출 의도였다고 설명했다.[27][28]

일부 버그 바운티 프로그램은 연구원들이 버그 바운티 프로그램으로부터 보수나 안전항구 혜택을 받기 위해 기밀유지 협약에 서명하도록 요구한다. 이러한 관행은 윤리적 근거로 인해 회사가 취약점에 대한 지식을 숨길 수 있도록 한다는 비판을 받아왔다.[30][31][32]

보고서

[편집]

제출은 누구에게나 공개되어 있기 때문에, 많은 수의 보고서(가장 큰 플랫폼인 해커원의 경우 50-70%로 추정됨)는 유효하지 않다.[33][34] 한 연구에 따르면, 가장 많은 보고서가 이전에 알려진 취약점으로 거부되었으며, 그 다음으로 오탐, 범위 외, 중복, 그리고 개념 증명 부족 순이었다. 다른 연구에서는 더 많은 돈을 제공하는 바운티 프로그램이 더 많은 유효한 보고서를 받았다는 것을 발견했다.[35] 유효하지 않은 보고서의 한 가지 원인은 해커들이 자신의 해결책을 확인하기 위해 추가 작업을 하는 것보다 보고서를 제출하는 것이 더 쉬울 수 있기 때문이다.[36] 해커원을 포함한 일부 버그 바운티 플랫폼은 유효하지 않은 보고서의 수를 줄이기 위한 조치를 구현했다.[36] 버그 바운티 프로그램은 공개가 아닌 신뢰할 수 있는 보안 연구원에게만 초대될 수도 있다.[37] 취약점을 검증하고 보상을 받기 위해 해커는 일반적으로 발견된 취약점이 진짜 보안 버그임을 증명하기 위한 취약점 공격을 생성해야 한다.[5] 버그 바운티 프로그램에서 가장 일반적으로 보고되는 취약점은 SQL 삽입, 사이트 간 스크립팅 (XSS), 그리고 설계 결함이다.[38]

참가자

[편집]

버그 바운티 프로그램 참가자들은 다양한 국가 출신이다. 해커원 플랫폼의 해커들을 대상으로 한 설문조사에서 19%는 자신의 위치를 미국이라고 응답했다.[32] 교육 배경이나 나이에 관계없이 누구든지 보고서를 제출할 수 있다.[39] 대부분의 보고서는 상대적으로 소수의 해커로부터 온다.[40] 보고자 및 보고서 수는 2010년대 후반에 급격히 증가했다.[41]

버그 바운티 참가자의 가장 많이 보고된 동기는 보고로 인한 금전적 보상이지만,[42] 다른 동기 부여 요인으로는 인정받을 가능성, 지적 도전, 학습, 그리고 직업 기회가 있다.[43][3][6] 2017년 Journal of Cybersecurity에 발표된 연구에 따르면, 오래된 버그 바운티 프로그램이 더 높은 금전적 보상을 제공했음에도 불구하고, 새로운 버그 바운티 프로그램이 더 많은 연구원들을 끌어들였다.[44]

주목할 만한 프로그램

[편집]

기업

[편집]

2013년 10월, 구글은 취약점 보상 프로그램에 대한 주요 변경 사항을 발표했다. 이전에는 많은 구글 제품을 다루는 버그 바운티 프로그램이었다. 그러나 이번 변경으로 이 프로그램은 특히 컴퓨터 네트워킹 또는 저수준 운영체제 기능을 위해 설계된 고위험 자유 소프트웨어 애플리케이션 및 라이브러리를 포함하도록 확대되었다. 구글이 지침을 준수한다고 판단한 제출물은 500달러에서 3,133.70달러에 이르는 보상을 받을 자격이 있었다.[45][46] 2017년, 구글은 구글 플레이 스토어를 통해 제공되는 제3자 개발 애플리케이션에서 발견된 취약점도 포함하도록 프로그램을 확대했다.[47] 구글의 취약점 보상 프로그램은 현재 구글, 구글 클라우드, 안드로이드, 크롬 제품에서 발견된 취약점을 포함하며 최대 31,337달러의 보상을 제공한다.[48]

마이크로소프트페이스북은 2013년 11월에 인터넷 버그 바운티를 후원하기 위해 협력했는데, 이는 광범위한 인터넷 관련 소프트웨어에 대한 해킹 및 취약점 공격 보고에 대해 보상을 제공하는 프로그램이다.[49] 2017년, 깃허브포드재단이 이 이니셔티브를 후원했으며, 우버, 마이크로소프트,[50] 어도비, 해커원, 깃허브, NCC 그룹, 시그널 사이언스(Signal Sciences) 등 자원봉사자들이 관리한다.[51]

정부

[편집]

2016년 3월, 피터 쿡은 미 연방 정부의 첫 번째 버그 바운티 프로그램인 "국방부 해킹(Hack the Pentagon)" 프로그램을 발표했다.[52]

2019년, 유럽 연합 집행위원회드루팔, 아파치 톰캣, VLC, 7-Zip, 키패스 등 인기 있는 오픈 소스 모델 프로젝트를 위한 EU-FOSSA 2 버그 바운티 이니셔티브를 발표했다. 이 프로젝트는 유럽 버그 바운티 플랫폼인 인티그리티(Intigriti)와 해커원이 공동으로 주관했으며, 총 195개의 고유하고 유효한 취약점이 발견되었다.[53]

2025년, 체코 공화국 정부는 Hackrate Ethical Hacking Platform에서 공식 버그 바운티 프로그램을 시작했다.[54]

플랫폼

[편집]

해커원을 포함한 일부 플랫폼들은 소프트웨어 공급업체를 대신하여 버그 바운티 프로그램을 운영하고 공급업체가 설정한 보상을 지급한다.[7] 다른 플랫폼으로는 코발트, 버그크라우드(Bugcrowd), 시낙트(Synact) 등이 있다.[55][56][57] 오픈 버그 바운티(Open Bug Bounty)는 2014년에 설립된 크라우드 보안 버그 바운티 프로그램으로, 개인들이 영향을 받는 웹사이트 운영자로부터 보상을 기대하며 웹사이트 및 웹 애플리케이션 보안 취약점을 게시할 수 있도록 한다.[58]

연구

[편집]

2021년 현재, 버그 바운티 프로그램에 대한 대부분의 정량적 연구는 공개적으로 접근 가능한 데이터셋에 초점을 맞추고 있다. 안전 필수 시스템에 대한 버그 바운티에 대한 연구는 아직 발표되지 않았는데, 이 시스템들은 인터넷과 점점 더 많이 연결되고 있다. 기존 연구의 대부분은 컴퓨터 과학 전문가들이 수행한 정량적 연구이며, 경제학, 법학, 철학 등 다양한 분야의 통찰력을 통합한 다학제적 관점이 부족하다.[42]

합법성

[편집]

취약점 발견은 여러 면에서 사이버 공격과 유사하다. 선의의 해커의 행동조차 사이버 범죄자를 기소하기 위해 제정된 형사법을 위반할 수 있다. 대부분의 해커는 법률 전문가가 아니며 해당 관할권의 법률에 대한 지식이 부족하다.[59] 취약점 발견자가 취약점을 공개한 후 법적 위협을 받는 경우가 흔하다.[60]

거의 모든 버그 바운티 프로그램이 정책을 준수하는 보고서에 대해 안전 항구를 약속하지만,[59] 발견된 취약점이 이전에 확립된 버그 바운티 프로그램에 속하지 않는 경우, 관련 회사는 이를 불법적인 사이버 공격으로 보고할 수 있다.[59][60] 중국에서는 일부 취약점 보고자들이 체포되어 기소되었으며, 여기에는 중국에서 가장 오래되고 가장 큰 취약점 보고 플랫폼인 우윈(WooYun)의 리더들도 포함된다.[59]

대체 취약점 시장

[편집]
 제로데이 공격 시장 문서를 참고하십시오.

모든 회사가 공개에 긍정적으로 반응하는 것은 아니다. 공개는 법적 책임과 운영상의 간접비용을 발생시킬 수 있기 때문이다. 취약점을 무료로 공개한 후 소프트웨어 공급업체로부터 중단 및 금지 서신을 받는 것은 드문 일이 아니다.[61] 이전에 알려지지 않은 제로 데이 취약점을 발견한 일부 개인은 이를 공급업체에 직접 또는 제3자 버그 바운티 프로그램을 통해 판매하지 않는다. 한 연구에 따르면, 버그를 보고하지 않는 가장 흔한 이유로 웹사이트의 위협적인 문구, 보고할 명확한 장소의 부족, 그리고 이전 버그 보고서에 대한 응답 부족이 꼽혔다.[62]

발견자들은 제로디움과 같은 중개인, NSO 그룹과 같은 스파이웨어 회사, 정부 또는 정보 기관에 취약점을 판매하여 경우에 따라 100만 달러 이상을 벌 수 있다. 정부 기관은 취약점을 사용하여 사이버 공격을 일으키거나, 취약점을 비축하거나, 공급업체에 통보할 수 있다.[63][15][7] 일부 해커는 발견한 취약점을 범죄 집단에 판매하기도 한다.[64] 2015년에는 정부 및 범죄 시장이 버그 바운티 시장보다 최소 10배 이상 큰 것으로 추정되었다.[63]

같이 보기

[편집]

각주

[편집]
  1. Ding, Aaron Yi; De Jesus, Gianluca Limon; Janssen, Marijn (2019). 〈Ethical hacking for boosting IoT vulnerability management〉 (영어). 《Proceedings of the Eighth International Conference on Telecommunications and Remote Sensing》. Ictrs '19. Rhodes, Greece: ACM Press. 49–55쪽. arXiv:1909.11166. doi:10.1145/3357767.3357774. ISBN 978-1-4503-7669-3. S2CID 202676146. 
  2. Weulen Kranenbarg, Marleen; Holt, Thomas J.; van der Ham, Jeroen (2018년 11월 19일). 《Don't shoot the messenger! A criminological and computer science perspective on coordinated vulnerability disclosure》 (영어). 《Crime Science》 7. 16쪽. doi:10.1186/s40163-018-0090-8. hdl:1871.1/8cdcfab0-9864-46c2-a7b7-a295c8ee511a. ISSN 2193-7680. S2CID 54080134. 
  3. Magalhães 2024, 236쪽.
  4. Jackson 2021, 6쪽.
  5. Lozano & Amir 2018, 5쪽.
  6. Laszka et al. 2018, 138쪽.
  7. Magalhães 2024, 241쪽.
  8. “The Pentagon Opened up to Hackers - And Fixed Thousands of Bugs”. 《Wired》. 2017년 11월 10일. 2018년 5월 25일에 확인함. 
  9. Jackson 2021, 3쪽.
  10. “Bounty attracts bug busters” (영어). 《CNET》. 1997년 6월 13일. 2023년 10월 17일에 확인함. 
  11. Friis-Jensen, Esben (2014년 4월 11일). “The History of Bug Bounty Programs”. 《Cobalt.io》. 2020년 3월 16일에 원본 문서에서 보존된 문서. 2023년 10월 17일에 확인함. 
  12. Ablon & Bogart 2017, 1쪽.
  13. Magalhães 2024, 235쪽.
  14. Ablon & Bogart 2017, iii, 2쪽.
  15. Sood & Enbody 2014, 1쪽.
  16. Ablon & Bogart 2017, 2쪽.
  17. Magalhães 2024, 235–236쪽.
  18. Magalhães 2024, 239–240쪽.
  19. Jackson 2021, 4쪽.
  20. Lozano & Amir 2018, 12쪽.
  21. Sinha 2019, 219쪽.
  22. “Zuckerberg's Facebook page hacked to prove security flaw”. CNN. 2013년 8월 20일. 2019년 11월 17일에 확인함. 
  23. Mills, Elinor (2011년 12월 31일). “Facebook whitehat Debit card”. CNET. 
  24. “Testimony of John Flynn, Chief Information Security Officer, Uber Technologies, Inc” (PDF). United States Senate. 2018년 2월 6일. 2018년 6월 4일에 확인함. 
  25. “Uber Tightens Bug Bounty Extortion Policy”. Threat Post. 2018년 4월 27일. 2018년 6월 4일에 확인함. 
  26. Osborne, Charlie. “Yahoo changes bug bounty policy following 't-shirt gate'. ZDNet. 
  27. Toecker, Michael (2013년 7월 23일). “More on IntegraXor's Bug Bounty Program”. Digital Bond. 2019년 5월 21일에 확인함. 
  28. Ragan, Steve (2013년 7월 18일). “SCADA vendor faces public backlash over bug bounty program”. CSO. 2019년 5월 21일에 확인함. 
  29. Rashi, Fahmida Y. (2013년 7월 16일). “SCADA Vendor Bashed Over 'Pathetic' Bug Bounty Program”. Security Week. 2019년 5월 21일에 확인함. 
  30. “How Zoom handled vulnerability shows the dark side of bug bounty's” (영어). 《ProPrivacy.com》. 2023년 5월 17일에 확인함. 
  31. Porup, J. M. (2020년 4월 2일). “Bug bounty platforms buy researcher silence, violate labor laws, critics say” (영어). 《CSO Online》. 2023년 5월 17일에 확인함. 
  32. Magalhães 2024, 246쪽.
  33. Laszka et al. 2018, 139쪽.
  34. Magalhães 2024, 237쪽.
  35. Magalhães 2024, 237–238쪽.
  36. Laszka et al. 2016, 162쪽.
  37. Lozano & Amir 2018, 8쪽.
  38. Magazinius et al. 2021, 97쪽.
  39. Lozano & Amir 2018, 11–12쪽.
  40. Magazinius et al. 2021, 96쪽.
  41. Magazinius et al. 2021, 95쪽.
  42. Magazinius et al. 2021, 100쪽.
  43. Libicki, Ablon & Webb 2015, 46–47쪽.
  44. Maillart, Thomas; Zhao, Mingyi; Grossklags, Jens; Chuang, John (2017). 《Given enough eyeballs, all bugs are shallow? Revisiting Eric Raymond with bug bounty programs》. 《Journal of Cybersecurity》 3. 81–90쪽. arXiv:1608.03445. doi:10.1093/cybsec/tyx008. 
  45. Goodin, Dan (2013년 10월 9일). “Google offers "leet" cash prizes for updates to Linux and other OS software”. Ars Technica. 2014년 3월 11일에 확인함. 
  46. Zalewski, Michal (2013년 10월 9일). “Going beyond vulnerability rewards”. Google Online Security Blog. 2014년 3월 11일에 확인함. 
  47. “Google launched a new bug bounty program to root out vulnerabilities in third-party apps on Google Play”. The Verge. 2017년 10월 22일. 2018년 6월 4일에 확인함. 
  48. “Vulnerability Assessment Reward Program”. 2020년 3월 23일에 확인함. 
  49. Goodin, Dan (2013년 11월 6일). “Now there's a bug bounty program for the whole Internet”. Ars Technica. 2014년 3월 11일에 확인함. 
  50. Abdulridha, Alaa (2021년 3월 18일). “How I hacked Facebook: Part Two”. infosecwriteups. 2021년 3월 18일에 확인함. 
  51. “Facebook, GitHub, and the Ford Foundation donate $300,000 to bug bounty program for internet infrastructure”. VentureBeat. 2017년 7월 21일. 2018년 6월 4일에 확인함. 
  52. “DoD Invites Vetted Specialists to 'Hack' the Pentagon”. 《U.S. DEPARTMENT OF DEFENSE》. 2016년 6월 21일에 확인함. 
  53. “EU-FOSSA 2 - Bug Bounties Summary” (PDF). 
  54. “Ministerstvo pro místní rozvoj ČR - MMR nabízí odměny za odhalení bezpečnostních děr ve svých IT systémech” (체코어). 《mmr.gov.cz》. 2025년 10월 9일에 확인함. 
  55. Sinha 2019, 3–4쪽.
  56. Laszka et al. 2016, 161쪽.
  57. Lozano & Amir 2018, 7쪽.
  58. Dutta, Payel (2018년 2월 19일). “Open Bug Bounty: 100,000 fixed vulnerabilities and ISO 29147” (미국 영어). 《TechWorm》. 2023년 4월 10일에 확인함. 
  59. Magalhães 2024, 247쪽.
  60. Jackson 2021, 7쪽.
  61. Strout 2023, 36쪽.
  62. Magalhães 2024, 241–242쪽.
  63. Libicki, Ablon & Webb 2015, 44쪽.
  64. Libicki, Ablon & Webb 2015, 44, 46쪽.

출처

[편집]
원본 주소 "https://ko.wikipedia.org/w/index.php?title=버그_바운티_프로그램&oldid=40807735"