메가경제 - 싱가포르 국방부, 첫 버그 바운티 챌린지 성공적 종료... 아시아 첫 정부 경험 주목

[메가경제 장찬걸 기자] '버그 바운티(보안 취약점 신고 포상제)'는 조직이나 기업의 시스템이나 제품 등을 해킹해 취약점을 발견한 화이트 해커에게 포상금을 지급하는 제도를 일컫는다.

싱가포르 국방부(MINDEF)가 해커 기반 보안 플랫폼인 해커원(HackerOne)이 진행한 '제1회 MINDEF 버그 바운티 챌린지(Bug Bounty Challenge)' 대회의 결과를 발표했다.

MINDEF 버그 바운티 챌린지는 싱가포르 국방부 최초의 보안 이니셔티브이며, 이러한 종류의 챌린지 프로그램을 시도한 아시아 정부는 싱가포르가 최초로 알려져 주목을 끌고 있다.

이번 챌린지 대회에는 300명의 윤리적 해커들(ethical hackers)이 싱가포르 국방부의 웹사이트, 시스템, NS 포털, 이메일에 침투하는 3주짜리 프로그램에 참여했다고 해커원측은 전했다.

윤리적 해커들은 지난 1월 15일부터 2월 4일까지 MINDEF의 보안팀이 이미 작업해 오던 점진적인 작업의 취약점을 찾는 일을 하도록 초대받았다.

이 프로그램을 실시하는 3주 동안 MINDEF는 35개의 고유한(unique) 취약점을 보고 받았지만 심각한 취약점은 없었다. 35개의 고유한 취약점들을 심각도를 기준으로 구분했을 때 23개는 저, 10개는 중, 1개는 고, 1개는 0이었다.

MINDEF는 이 프로그램에 참여한 성공적이고 신뢰할 만한 해커 17명에게 총 1만4750달러의 상금을 수여했다. 미국, 싱가포르, 인도, 루마니아, 캐나다, 러시아, 스웨덴, 아일랜드, 이집트, 파키스탄을 비롯한 전세계 해커들이 이 프로그램에 참여했다. 싱가포르 국방부는 해커들의 취약점 보고에 신속하게 대응했고, 평균 대응 시간은 5시간 이내였다.

해커원의 공동 설립자 겸 최고기술책임자 알렉스 라이스는 “MINDEF 버그 바운티 챌린지에 참여한 전세계 해커들을 보더라도 싱가포르 정부가 보다 안전하게 시스템을 운영하도록 돕고자 하는 마음이 해커들 사이에 압도적으로 크다는 것을 알 수 있다”며 “MINDEF의 프로그램은 정부 기관과 해커 커뮤니티 간의 협력이 앞으로도 이어질 수 있음을 보여준다”고 평가했다.

글로벌 해커 커뮤니티를 이용해 범죄자들이 악용 가능한 취약점을 사전에 찾기 위해 노력한 정부 기관으로는 MINDEF 외에도 미국 국방부, 미국 공공시설청, 유럽 연합 집행위원회가 있다. 구글플레이, 닌텐도, 제너럴 모터스, 스타벅스 같은 진보적인 회사들도 이런 버그 바운티 모델을 채택했다.

싱가포르 국방부 차관보(특별 프로젝트) 겸 국방 사이버 국장 데이비드 코는 이번 챌린지를 매우 긍정적으로 평가했다. "빠르게 변화하는 사이버 보안 환경으로 인해 어떤 정부 기관도 혼자서는 보안 취약점을 확인하고 제거할 수 없다"며 "화이트햇(white hat) 해커들을 초대해 우리 시스템을 테스트하게 함으로써 MINDEF는 그 동안 발견하지 못했던 취약점들을 빠르게 찾아내 국방 시스템의 보안을 효과적으로 강화할 수 있었다"고 말했다. 이어 "이 프로그램의 성공으로 우리는 수주일 만에 사이버 보안 수준을 높일 수 있었다"고 덧붙였다.

데이비드 코 차관보의 평가는 정부의 보안 취약점을 화이트 해커를 활용해 신속히 찾아내고 적절하게 보완할 수 있다는 평가여서 참고할 만한 가치가 큰 것으로 보인다.

'MINDEF 버그 바운티 챌린지'를 진행한 해커원은 조직들이 치명적인 취약점을 악용당하기 전에 미리 취약점을 찾아 해결할 수 있도록 돕는 해커 기반 보안 플랫폼이다.

미국 샌프란시스코에 본사를 두고 있는 해커원의 고객사는 미국 국방부, 미국 공공시설청, 제너럴 모터스, 구글플레이, 트위터, 깃허브, 닌텐도, 파나소닉 아비오닉스, 퀄컴, 스타벅스, 드롭박스, CERT 협력 센터를 포함한 1000개 이상의 조직이다.

해커원에 따르면, 그동안 해커원의 고객들은 6만3000개 이상의 취약점을 해결했으며 보안 취약점 발견에 따른 포상금으로 2500만 달러 이상을 수여했다고 밝혔다.

[저작권자ⓒ 메가경제. 무단전재-재배포 금지]