Offcanvas

���������������

취약점 관리 프로그램을 개발하는 12단계

보안 임원들은 IT 환경에서 취약점을 해결하는 것이 얼마나 중요한지 잘 알고 있다. 최근 패치되지 않은 시스템으로 인해 발생한 대규모 침해 사건으로 인해 다른 고위 경영진도 취약점 관리의 중요성을 깨닫게 됐다.  미국 연방거래위원회(FTC)는 1월 초 비즈니스 커뮤니티에 Log4j 취약점 해결에 대해 공지하며 “기업은 FTC법 및 그램 리치 블라일리법(Gramm Leach Bliley Act, GLBA)에 따라 알려진 소프트웨어 취약점을 완화하기 위해 합리적인 조치를 취할 의무가 있다. Log4j에 의존하는 기업과 이들의 제공업체는 소비자에 대한 피해 가능성을 줄이고 FTC의 소송을 방지하기 위해 당장 조치를 취해야 한다”라고 권고했다.   FTC가 Log4j 취약점에 대해 경고한 데는 이유가 있다. 여러 보고서에 따르면, 패치되지 않은 알려진 취약점은 주요 공격 벡터가 되기 때문이다.    보안 업체 이반티(Ivanti), CSW(Cyber Security Works), 싸이웨어(Cyware)의 ‘랜섬웨어 스포트라이트 2021년 연말 보고서’에 따르면, 2021년 발생한 랜섬웨어 공격 관련 취약점은 65개가 새롭게 추가되면서 전년 대비 29% 증가했다. 총 288가지의 알려진 취약점이 2021년의 랜섬웨어 공격과 관련 있었다.  이런 조사 결과에도 불구하고 취약점 관리 프로그램을 마련한 기업은 많지 않다. 사이버 교육 및 인증 업체 SANS 인스티튜트(SANS Institute)의 2020년 설문조사 결과, 취약점 관리에 대해 비공식적인 접근 방식을 취하고 있거나 프로그램이 전혀 없는 기업은 약 37%로 조사됐다.  많은 보안 전문가가 임시 또는 비공식적인 방법으로 취약점을 관리해서는 안 된다고 입을 모았다. 취약점에 대한 조치와 책무, 지속적인 개선은 체계적으로 이루어져야 한다. 이 목적을 달성하기 위해 보안 전문가들은 최고의 취약점 관리 프로그램을 개발하는 12단계를 제안했다. 하나씩 살펴보...

취약점관리 취약점관리프로그램 버그바운티

2022.05.20

보안 임원들은 IT 환경에서 취약점을 해결하는 것이 얼마나 중요한지 잘 알고 있다. 최근 패치되지 않은 시스템으로 인해 발생한 대규모 침해 사건으로 인해 다른 고위 경영진도 취약점 관리의 중요성을 깨닫게 됐다.  미국 연방거래위원회(FTC)는 1월 초 비즈니스 커뮤니티에 Log4j 취약점 해결에 대해 공지하며 “기업은 FTC법 및 그램 리치 블라일리법(Gramm Leach Bliley Act, GLBA)에 따라 알려진 소프트웨어 취약점을 완화하기 위해 합리적인 조치를 취할 의무가 있다. Log4j에 의존하는 기업과 이들의 제공업체는 소비자에 대한 피해 가능성을 줄이고 FTC의 소송을 방지하기 위해 당장 조치를 취해야 한다”라고 권고했다.   FTC가 Log4j 취약점에 대해 경고한 데는 이유가 있다. 여러 보고서에 따르면, 패치되지 않은 알려진 취약점은 주요 공격 벡터가 되기 때문이다.    보안 업체 이반티(Ivanti), CSW(Cyber Security Works), 싸이웨어(Cyware)의 ‘랜섬웨어 스포트라이트 2021년 연말 보고서’에 따르면, 2021년 발생한 랜섬웨어 공격 관련 취약점은 65개가 새롭게 추가되면서 전년 대비 29% 증가했다. 총 288가지의 알려진 취약점이 2021년의 랜섬웨어 공격과 관련 있었다.  이런 조사 결과에도 불구하고 취약점 관리 프로그램을 마련한 기업은 많지 않다. 사이버 교육 및 인증 업체 SANS 인스티튜트(SANS Institute)의 2020년 설문조사 결과, 취약점 관리에 대해 비공식적인 접근 방식을 취하고 있거나 프로그램이 전혀 없는 기업은 약 37%로 조사됐다.  많은 보안 전문가가 임시 또는 비공식적인 방법으로 취약점을 관리해서는 안 된다고 입을 모았다. 취약점에 대한 조치와 책무, 지속적인 개선은 체계적으로 이루어져야 한다. 이 목적을 달성하기 위해 보안 전문가들은 최고의 취약점 관리 프로그램을 개발하는 12단계를 제안했다. 하나씩 살펴보...

2022.05.20

취약점 관리 프로그램을 개발하는 12단계

보안 임원들은 IT 환경에서 취약점을 해결하는 것이 얼마나 중요한지 잘 알고 있다. 최근 패치되지 않은 시스템으로 인해 발생한 대규모 침해 사건으로 인해 다른 고위 경영진도 취약점 관리의 중요성을 깨닫게 됐다.  미국 연방거래위원회(FTC)는 1월 초 비즈니스 커뮤니티에 Log4j 취약점 해결에 대해 공지하며 “기업은 FTC법 및 그램 리치 블라일리법(Gramm Leach Bliley Act, GLBA)에 따라 알려진 소프트웨어 취약점을 완화하기 위해 합리적인 조치를 취할 의무가 있다. Log4j에 의존하는 기업과 이들의 제공업체는 소비자에 대한 피해 가능성을 줄이고 FTC의 소송을 방지하기 위해 당장 조치를 취해야 한다”라고 권고했다.   FTC가 Log4j 취약점에 대해 경고한 데는 이유가 있다. 여러 보고서에 따르면, 패치되지 않은 알려진 취약점은 주요 공격 벡터가 되기 때문이다.    보안 업체 이반티(Ivanti), CSW(Cyber Security Works), 싸이웨어(Cyware)의 ‘랜섬웨어 스포트라이트 2021년 연말 보고서’에 따르면, 2021년 발생한 랜섬웨어 공격 관련 취약점은 65개가 새롭게 추가되면서 전년 대비 29% 증가했다. 총 288가지의 알려진 취약점이 2021년의 랜섬웨어 공격과 관련 있었다.  이런 조사 결과에도 불구하고 취약점 관리 프로그램을 마련한 기업은 많지 않다. 사이버 교육 및 인증 업체 SANS 인스티튜트(SANS Institute)의 2020년 설문조사 결과, 취약점 관리에 대해 비공식적인 접근 방식을 취하고 있거나 프로그램이 전혀 없는 기업은 약 37%로 조사됐다.  많은 보안 전문가가 임시 또는 비공식적인 방법으로 취약점을 관리해서는 안 된다고 입을 모았다. 취약점에 대한 조치와 책무, 지속적인 개선은 체계적으로 이루어져야 한다. 이 목적을 달성하기 위해 보안 전문가들은 최고의 취약점 관리 프로그램을 개발하는 12단계를 제안했다. 하나씩 살펴보...

취약점관리 취약점관리프로그램 버그바운티

2022.05.19

보안 임원들은 IT 환경에서 취약점을 해결하는 것이 얼마나 중요한지 잘 알고 있다. 최근 패치되지 않은 시스템으로 인해 발생한 대규모 침해 사건으로 인해 다른 고위 경영진도 취약점 관리의 중요성을 깨닫게 됐다.  미국 연방거래위원회(FTC)는 1월 초 비즈니스 커뮤니티에 Log4j 취약점 해결에 대해 공지하며 “기업은 FTC법 및 그램 리치 블라일리법(Gramm Leach Bliley Act, GLBA)에 따라 알려진 소프트웨어 취약점을 완화하기 위해 합리적인 조치를 취할 의무가 있다. Log4j에 의존하는 기업과 이들의 제공업체는 소비자에 대한 피해 가능성을 줄이고 FTC의 소송을 방지하기 위해 당장 조치를 취해야 한다”라고 권고했다.   FTC가 Log4j 취약점에 대해 경고한 데는 이유가 있다. 여러 보고서에 따르면, 패치되지 않은 알려진 취약점은 주요 공격 벡터가 되기 때문이다.    보안 업체 이반티(Ivanti), CSW(Cyber Security Works), 싸이웨어(Cyware)의 ‘랜섬웨어 스포트라이트 2021년 연말 보고서’에 따르면, 2021년 발생한 랜섬웨어 공격 관련 취약점은 65개가 새롭게 추가되면서 전년 대비 29% 증가했다. 총 288가지의 알려진 취약점이 2021년의 랜섬웨어 공격과 관련 있었다.  이런 조사 결과에도 불구하고 취약점 관리 프로그램을 마련한 기업은 많지 않다. 사이버 교육 및 인증 업체 SANS 인스티튜트(SANS Institute)의 2020년 설문조사 결과, 취약점 관리에 대해 비공식적인 접근 방식을 취하고 있거나 프로그램이 전혀 없는 기업은 약 37%로 조사됐다.  많은 보안 전문가가 임시 또는 비공식적인 방법으로 취약점을 관리해서는 안 된다고 입을 모았다. 취약점에 대한 조치와 책무, 지속적인 개선은 체계적으로 이루어져야 한다. 이 목적을 달성하기 위해 보안 전문가들은 최고의 취약점 관리 프로그램을 개발하는 12단계를 제안했다. 하나씩 살펴보...

2022.05.19

현상금 100억 원도 나왔다··· 버그 바운티에 열 올리는 암호화폐 업계

현상금이 무려 미화 1,000만 달러(한화 약 119억 원)나 된다면 적절한 스킬을 갖춘 사람에게 암호화폐 취약점 사냥은 수지맞는 돈벌이다. 아울러 이는 전통적인 버그 현상금 역시 높일 것이라고 예상된다.  막대한 돈이 걸린 암호화폐 및 블록체인 프로젝트가 늘어나고 그 가치가 치솟으면서 2021년 한 해에만 암호화폐 사기꾼들은 140억 달러(한화 약 16조 원)를 훔쳐 갔다. 이러한 암호화폐 절도는 2022년에도 계속되고 있다.  불과 한 달 전인 지난달 17일 크립토닷컴(Crypto.com)은 3,000만 달러의 실물 화폐를, 이어 28일 큐빗 파이낸스(Qubit Finance)는 약 8,000만 달러의 암호화폐를 도난당했다. 이번 달에는 사상 두 번째로 큰 규모의 탈중앙화 금융(Decentralize Finance; DeFi) 절도 사건이 발생했다. 한 해커가 (이더리움과 솔라나 블록체인을 연결하는 크로스체인 프로토콜인) 웜홀(Wormhole)의 토큰 교환 브리지를 해킹해 3억 2,000만 달러 상당의 이더리움을 훔친 것이다.  현재까지 역대 최대 규모의 암호화폐 해킹은 지난 2021년 8월 발생했다. 여러 암호화폐 토큰을 교환할 수 있게 해주는 탈중앙화 금융 플랫폼 폴리 네트워크(Poly Network)가 6억 달러(한화 약 7,000억 원) 이상의 해킹 피해를 입었다. 이례적으로 폴리는 도난당한 6억 달러를 돌려받았으며, 해당 해커에 50만 달러를 버그 현상금 명목으로 제공했다. 이는 기존 암호화폐 버그 현상금 프로그램에서 일반적으로 주는 금액보다 6배 더 많았다.    현재 상한가는 200만 달러   2021년 말 기준 암호화폐 시장의 시가총액이 3조 달러를 돌파할 정도로 많은 돈이 걸려 있기 때문에 암호화폐 업계의 버그 현상금이 치솟는 것도 놀라운 일은 아니다. 일주일 전, 유명 화이트햇 해커인 제이 프리먼은 공격자가 임의의 수량으로 토큰을 인쇄할 수 있는 버그를 발견하여 이더리움 레이어...

암호화폐 버그 현상금 버그바운티 취약점 블록체인 크립토닷컴 큐빗 파이낸스 탈중앙화 금융 디파이 이더리움 해킹 웹3 버그 해커 화이트 해커 포상금 현상금

2022.02.21

현상금이 무려 미화 1,000만 달러(한화 약 119억 원)나 된다면 적절한 스킬을 갖춘 사람에게 암호화폐 취약점 사냥은 수지맞는 돈벌이다. 아울러 이는 전통적인 버그 현상금 역시 높일 것이라고 예상된다.  막대한 돈이 걸린 암호화폐 및 블록체인 프로젝트가 늘어나고 그 가치가 치솟으면서 2021년 한 해에만 암호화폐 사기꾼들은 140억 달러(한화 약 16조 원)를 훔쳐 갔다. 이러한 암호화폐 절도는 2022년에도 계속되고 있다.  불과 한 달 전인 지난달 17일 크립토닷컴(Crypto.com)은 3,000만 달러의 실물 화폐를, 이어 28일 큐빗 파이낸스(Qubit Finance)는 약 8,000만 달러의 암호화폐를 도난당했다. 이번 달에는 사상 두 번째로 큰 규모의 탈중앙화 금융(Decentralize Finance; DeFi) 절도 사건이 발생했다. 한 해커가 (이더리움과 솔라나 블록체인을 연결하는 크로스체인 프로토콜인) 웜홀(Wormhole)의 토큰 교환 브리지를 해킹해 3억 2,000만 달러 상당의 이더리움을 훔친 것이다.  현재까지 역대 최대 규모의 암호화폐 해킹은 지난 2021년 8월 발생했다. 여러 암호화폐 토큰을 교환할 수 있게 해주는 탈중앙화 금융 플랫폼 폴리 네트워크(Poly Network)가 6억 달러(한화 약 7,000억 원) 이상의 해킹 피해를 입었다. 이례적으로 폴리는 도난당한 6억 달러를 돌려받았으며, 해당 해커에 50만 달러를 버그 현상금 명목으로 제공했다. 이는 기존 암호화폐 버그 현상금 프로그램에서 일반적으로 주는 금액보다 6배 더 많았다.    현재 상한가는 200만 달러   2021년 말 기준 암호화폐 시장의 시가총액이 3조 달러를 돌파할 정도로 많은 돈이 걸려 있기 때문에 암호화폐 업계의 버그 현상금이 치솟는 것도 놀라운 일은 아니다. 일주일 전, 유명 화이트햇 해커인 제이 프리먼은 공격자가 임의의 수량으로 토큰을 인쇄할 수 있는 버그를 발견하여 이더리움 레이어...

2022.02.21

'오피스 현상금의 2배'… MS, 팀즈 버그바운티 공개

MS가 팀즈의 취약점을 찾아내는 보안 연구자에게 최대 3만 달러의 현상금을 지급하는 새 버그바운티를 공개했다. 팀즈의 위상이 점차 높아지고 있다는 신호로 풀이된다.  팀즈의 입지가 최고조에 이르렀음을 보여주는 데 있어 3만 달러라는 현상금만한 게 없다.  지난주 MS는 회사의 현재와 미래의 전략을 계획하는 데 있어 팀즈가 차지하는 중요성을 강조하며, 이전에 알려지지 않은 취약점을 보고하는 보안 연구자들에게 최대 3만달러의 현상금을 지급하는 새 버그바운티 프로그램을 공개했다. 여타 오피스 애플리케이션의 취약점 발견에 걸었던 최대 금액의 두 배다.    새 프로그램의 명칭은 ‘마이크로소프트 애플리케이션 바운티 프로그램’이며 팀즈의 데스크톱 클라이언트만을 대상으로 한다. MS에 따르면 여타 애플리케이션도 버그바운티 프로그램에 포함될 예정이다. 하지만 회사는 시점에 대해선 언급하지 않았다.  MS는 새 버그바운티에 대한 글에서 고객의 보안과 프라이버시에 ‘매우 높은 파급력을 미칠 수 있는’ 취약점을 5가지 시나리오로 나눠 구체적으로 나열했다. 현상금은 최소 6,000달러에서 최대 3만 달러에 달한다. 현상금이 가장 크게 걸린 취약점은 ‘사용자와의 상호작용 없이 이뤄지는 원격 코드 실행’이었다.  다른 사용자의 인증 크레덴셜을 획득할 수 있는 취약점(피싱은 제외)에는 최대 1만 5,000달러의 현상금이 걸렸다.  또한 이 글에는 원격 코드 실행 취약점부터 스푸핑 혹은 탬퍼링까지 일반적인 버그에 걸린 현상금에 대한 설명도 있다. 취약점의 심각성, 발견자의 보고 품질에 따라 현상금은 500달러에서 1만 5,000달러에 달한다.  반면, ‘오피스 인사이더 빌즈 온 윈도우’ 프로그램에 걸린 현상금은 최대 1만 5,000달러다. 이외에 MS가 최대 3만 달러의 현상금을 책정한 애플리케이션으로는 엣지 브라우저가 있다(MS는 윈도우의 보안 기능인 윈도우 디펜더 애플리케이션 가드의...

MS 팀즈 버그바운티

2021.03.30

MS가 팀즈의 취약점을 찾아내는 보안 연구자에게 최대 3만 달러의 현상금을 지급하는 새 버그바운티를 공개했다. 팀즈의 위상이 점차 높아지고 있다는 신호로 풀이된다.  팀즈의 입지가 최고조에 이르렀음을 보여주는 데 있어 3만 달러라는 현상금만한 게 없다.  지난주 MS는 회사의 현재와 미래의 전략을 계획하는 데 있어 팀즈가 차지하는 중요성을 강조하며, 이전에 알려지지 않은 취약점을 보고하는 보안 연구자들에게 최대 3만달러의 현상금을 지급하는 새 버그바운티 프로그램을 공개했다. 여타 오피스 애플리케이션의 취약점 발견에 걸었던 최대 금액의 두 배다.    새 프로그램의 명칭은 ‘마이크로소프트 애플리케이션 바운티 프로그램’이며 팀즈의 데스크톱 클라이언트만을 대상으로 한다. MS에 따르면 여타 애플리케이션도 버그바운티 프로그램에 포함될 예정이다. 하지만 회사는 시점에 대해선 언급하지 않았다.  MS는 새 버그바운티에 대한 글에서 고객의 보안과 프라이버시에 ‘매우 높은 파급력을 미칠 수 있는’ 취약점을 5가지 시나리오로 나눠 구체적으로 나열했다. 현상금은 최소 6,000달러에서 최대 3만 달러에 달한다. 현상금이 가장 크게 걸린 취약점은 ‘사용자와의 상호작용 없이 이뤄지는 원격 코드 실행’이었다.  다른 사용자의 인증 크레덴셜을 획득할 수 있는 취약점(피싱은 제외)에는 최대 1만 5,000달러의 현상금이 걸렸다.  또한 이 글에는 원격 코드 실행 취약점부터 스푸핑 혹은 탬퍼링까지 일반적인 버그에 걸린 현상금에 대한 설명도 있다. 취약점의 심각성, 발견자의 보고 품질에 따라 현상금은 500달러에서 1만 5,000달러에 달한다.  반면, ‘오피스 인사이더 빌즈 온 윈도우’ 프로그램에 걸린 현상금은 최대 1만 5,000달러다. 이외에 MS가 최대 3만 달러의 현상금을 책정한 애플리케이션으로는 엣지 브라우저가 있다(MS는 윈도우의 보안 기능인 윈도우 디펜더 애플리케이션 가드의...

2021.03.30

"심각성 10점 中 10점"··· 미 CISA, 윈도우 서버 탈취 가능성에 긴급 패치 지시

미 국토안보부 산하 사이버·인프라안보국(이하 CISA)이 연방 정부 기관에게 윈도우 서버 2008부터 윈도우 서버 2019의 액티브 디렉터리 핵심 인증 요소에 들어있는 취약점을 긴급 패치하라는 이례적인 지시를 내렸다.  CISA가 미 연방 정부 기관들에게 윈도우 서버를 며칠 내로 패치하라는 비상 지시를 내렸다. 서버 취약성이 그만큼 심각하다는 것을 시사한다.     해당 지시는 지난 18일에 내려졌으며 정부 기관들은 4일 내로 보안 업데이트를 해야만 했다. 지시에 따르면 유관 기관들은 지난달 11일 발표된 CVE-2020-1472 취약점을 패치하기 위해 "즉각적이고 긴급한 조치"를 취해야 한다.  이 취약점은 윈도우 서버 2008에서 서버 2019의 액티브 디렉터리의 핵심 인증 요소인 마이크로소프트 윈도우 넷로그온 리모트 프로토콜(MS-NRPC) 속에 존재한다. 작동 방식 때문에 "제로로그온"이라는 이름이 붙여졌다.  마이크로소프트의 버그 엔트리에 따르면, CVE-2020-1472 취약점용 패치는 공격자가 NRPC를 사용해 도메인 컨트롤러와 취약한 보안 채널 연결을 설정할 때 발생하는 주요 권한 상승 버그를 해결한다. 이 취약점 때문에 공격자는 네트워크 액세스만 확보하면 인증 없이도 도메인 컨트롤러에 접근해 액티브 디렉토리의 ID 서비스를 완전히 손상시킬 수 있다.  마이크로소프트는 공통 취약점 등급 시스템(CVSS)의 10점 척도를 기준으로 이 취약점에 10점을 부여했다. 취약성이 그만큼 심각하다는 의미다. 이번 패치는 해당 취약점을 해결할 수 있는 유일한 방법이다. 즉, 패치를 통해 취약한 도메인 컨트롤러를 네트워크에서 제거할 수 있다. CISA가 관할하는 기관은 연방정부에 한정된다. 미 국방부처럼 자체 규칙을 가진 곳은 제외된다. 하지만 CISA는 주정부 및 지방정부 기관, 민간 부문, 기타 비정부 기관 등 관할하지 않는 기관들에게도 가능한 한 빨리 업데이트할 것을 강력하게 촉구하...

CISA 윈도우 액티브 디렉터리 제로로그온 버그바운티 패치 화요일

2020.09.29

미 국토안보부 산하 사이버·인프라안보국(이하 CISA)이 연방 정부 기관에게 윈도우 서버 2008부터 윈도우 서버 2019의 액티브 디렉터리 핵심 인증 요소에 들어있는 취약점을 긴급 패치하라는 이례적인 지시를 내렸다.  CISA가 미 연방 정부 기관들에게 윈도우 서버를 며칠 내로 패치하라는 비상 지시를 내렸다. 서버 취약성이 그만큼 심각하다는 것을 시사한다.     해당 지시는 지난 18일에 내려졌으며 정부 기관들은 4일 내로 보안 업데이트를 해야만 했다. 지시에 따르면 유관 기관들은 지난달 11일 발표된 CVE-2020-1472 취약점을 패치하기 위해 "즉각적이고 긴급한 조치"를 취해야 한다.  이 취약점은 윈도우 서버 2008에서 서버 2019의 액티브 디렉터리의 핵심 인증 요소인 마이크로소프트 윈도우 넷로그온 리모트 프로토콜(MS-NRPC) 속에 존재한다. 작동 방식 때문에 "제로로그온"이라는 이름이 붙여졌다.  마이크로소프트의 버그 엔트리에 따르면, CVE-2020-1472 취약점용 패치는 공격자가 NRPC를 사용해 도메인 컨트롤러와 취약한 보안 채널 연결을 설정할 때 발생하는 주요 권한 상승 버그를 해결한다. 이 취약점 때문에 공격자는 네트워크 액세스만 확보하면 인증 없이도 도메인 컨트롤러에 접근해 액티브 디렉토리의 ID 서비스를 완전히 손상시킬 수 있다.  마이크로소프트는 공통 취약점 등급 시스템(CVSS)의 10점 척도를 기준으로 이 취약점에 10점을 부여했다. 취약성이 그만큼 심각하다는 의미다. 이번 패치는 해당 취약점을 해결할 수 있는 유일한 방법이다. 즉, 패치를 통해 취약한 도메인 컨트롤러를 네트워크에서 제거할 수 있다. CISA가 관할하는 기관은 연방정부에 한정된다. 미 국방부처럼 자체 규칙을 가진 곳은 제외된다. 하지만 CISA는 주정부 및 지방정부 기관, 민간 부문, 기타 비정부 기관 등 관할하지 않는 기관들에게도 가능한 한 빨리 업데이트할 것을 강력하게 촉구하...

2020.09.29

칼럼 | 소프트웨어 보안, '버그 바운티' 만으론 부족하다

한 조사결과를 보면 매년 1000억 라인 이상의 코드가 만들어지고, 인터넷에 연결된 소프트웨어 비중이 계속 늘고 있다. 이런 추세가 이어질수록 악의적인 목적으로 이들 코드를 수정하려는 해킹 위험도 함께 커지기 마련이다. 이와 같은 코드 위변조 가능성 때문에 많은 기업이 버그 바운티(bug-bounty) 프로그램이 활발하게 이용한다. 그러나 버그 바운티의 긍정적인 효과에도 불구하고, 보안을 강화하려면 그 이상을 고민해야 한다. 사실 버그 바운티는 새로운 것이 아니다. 버그 바운티가 대중화된 시점을 따져보면 1983년 혹은 그 이전으로 거슬러 올라간다. 지난 수년간 수천만 달러가 이러한 행사에 투입됐고, 주로 인터넷 연결을 통해 쉽게 액세스할 수 있는 보안 취약점을 찾아냈다. 이 과정에서 해커원(HackerOne)이나 버그크라우드(Bugcrowd) 등 VC 투자를 받은 스타트업이 활약했다. 이를 통해 많은 '윤리적' 해커가 질과 양 측면에서 크게 성장했다. 그 사이 기업 IT 팀은 스캐너와 일명 '펜 테스팅(pen testing)'이라 불리는 침투 테스트로는 모든 보안 취약점을 찾을 수 없다는 것을 깨달았다. 같은 시기 미국 연방 정부는 권고안과 프레임워크를 통해 보안 강화를 강제하고 있다. 조만간 규제로까지 나아갈 것이다. 업계에서는 그동안 '걸어 잠근 문', 즉 기업의 시스템 내에서 소프트웨어 버그를 찾아 수정하는 것이 관행이었다. 그러나 최근 들어 닫힌 보안 방식에서 열린 방식으로의 거대한 전환이 나타나고 있다. 대표적인 것이 오픈소스 소프트웨어를 도입하는 것이다. 해커원의 CEO 마튼 미코스는 "기업들은 마침내 공동 방어가 최고의 방어임을 깨닫고 있다. 높은 투명성은 항상 보안에 가장 도움이 된다"라고 말했다. 이런 움직임은 매우 긍정적이지만, 이것이 곧 기업의 보안 강화를 의미하는 것은 아니다. 사실 보안은 기술과 제품으로만 해결할 수 없다. 이보다 더 중요한 것이 ...

오픈소스 버그바운티

2018.07.27

한 조사결과를 보면 매년 1000억 라인 이상의 코드가 만들어지고, 인터넷에 연결된 소프트웨어 비중이 계속 늘고 있다. 이런 추세가 이어질수록 악의적인 목적으로 이들 코드를 수정하려는 해킹 위험도 함께 커지기 마련이다. 이와 같은 코드 위변조 가능성 때문에 많은 기업이 버그 바운티(bug-bounty) 프로그램이 활발하게 이용한다. 그러나 버그 바운티의 긍정적인 효과에도 불구하고, 보안을 강화하려면 그 이상을 고민해야 한다. 사실 버그 바운티는 새로운 것이 아니다. 버그 바운티가 대중화된 시점을 따져보면 1983년 혹은 그 이전으로 거슬러 올라간다. 지난 수년간 수천만 달러가 이러한 행사에 투입됐고, 주로 인터넷 연결을 통해 쉽게 액세스할 수 있는 보안 취약점을 찾아냈다. 이 과정에서 해커원(HackerOne)이나 버그크라우드(Bugcrowd) 등 VC 투자를 받은 스타트업이 활약했다. 이를 통해 많은 '윤리적' 해커가 질과 양 측면에서 크게 성장했다. 그 사이 기업 IT 팀은 스캐너와 일명 '펜 테스팅(pen testing)'이라 불리는 침투 테스트로는 모든 보안 취약점을 찾을 수 없다는 것을 깨달았다. 같은 시기 미국 연방 정부는 권고안과 프레임워크를 통해 보안 강화를 강제하고 있다. 조만간 규제로까지 나아갈 것이다. 업계에서는 그동안 '걸어 잠근 문', 즉 기업의 시스템 내에서 소프트웨어 버그를 찾아 수정하는 것이 관행이었다. 그러나 최근 들어 닫힌 보안 방식에서 열린 방식으로의 거대한 전환이 나타나고 있다. 대표적인 것이 오픈소스 소프트웨어를 도입하는 것이다. 해커원의 CEO 마튼 미코스는 "기업들은 마침내 공동 방어가 최고의 방어임을 깨닫고 있다. 높은 투명성은 항상 보안에 가장 도움이 된다"라고 말했다. 이런 움직임은 매우 긍정적이지만, 이것이 곧 기업의 보안 강화를 의미하는 것은 아니다. 사실 보안은 기술과 제품으로만 해결할 수 없다. 이보다 더 중요한 것이 ...

2018.07.27

버그의 가치는 얼마인가

버그크로우가 버그 보상금을 측정하는 방법에 대해 설명했다. 원패스워드(1Password)는 최근 자체 버그 바운티 최고 상금을 2만 5,000달러에서 10만 달러로 올렸다. 블로그에 따르면, 원패스워드는 연구원에게 더 많은 인센티브를 주기 위해 금액을 올렸다. 이와 별개로 구글은 자체 취약점 보상 프로그램을 통해 지난해 300만 달러를 지불했다. 그런데 이 금액은 어떻게 결정되는 것일까? 버그크로우(Bugcrowd) 부사장 데이비드 베이커는 최근 막대한 상금이 기업이 이 시장에 대해 실제적으로 생각하기 시작했으며 이 시장이 취약점 가격을 결정하는 곳이라는 걸 입증하고 있다고 말했다. 가치있는 버그란 크라우드소스 보안 테스팅을 원하는 기업이 일반적으로 묻는 공통 질문이 가치있는 버그가 무엇이냐는 것이다. 베이커는 "버그에 대한 시장이 성숙해짐에 따라 해답은 계속 진화할 것이다. 그러나 성공의 열쇠는 같다. 적절한 인센티브와 함께 올바른 연구원을 유치하는 것이다. 그러나 대부분의 기업이 잘 인식하지 못하는 것은 현상금 지급 범위를 결정하는 데 필요한 여러 가지 복잡성이다"라고 말했다. 정해진 범위 내에서 연구원을 적극적으로 참여하게 만들고 군중의 이목을 집중하게 만드는 보상금 설정 등으로 시작하는 프로그램은 성숙해질수록 점점 더 복잡해진다. 베이커는 보상금은 언제, 어떻게 지급할 것인지, 기업이 이 프로그램을 최대한 활용할 수 있는 방법과 같은 버그 바운티 프로그램의 범위를 정하는 노하우를 담은 몇 가지 베스트 프랙티스를 소개했다. - 처음 관계를 잘 맺어야 한다 처음 프로그램 범위를 지정할 때, 그 범위가 해당 프로그램의 성공에 얼마나 중요한 지를 인지해야 한다. 가장 간단한 형태로, 범위는 연구원에게 테스트해야 할 것과 하지 말아야 할 것을 알려주는데, 이는 자사의 크라우드 소싱 프로그램에서 자사가 원하는 결과를 얻는 데 매우 중요한 역할을 한다. 이는 가격을 책정하는...

버그 버그바운티

2017.03.23

버그크로우가 버그 보상금을 측정하는 방법에 대해 설명했다. 원패스워드(1Password)는 최근 자체 버그 바운티 최고 상금을 2만 5,000달러에서 10만 달러로 올렸다. 블로그에 따르면, 원패스워드는 연구원에게 더 많은 인센티브를 주기 위해 금액을 올렸다. 이와 별개로 구글은 자체 취약점 보상 프로그램을 통해 지난해 300만 달러를 지불했다. 그런데 이 금액은 어떻게 결정되는 것일까? 버그크로우(Bugcrowd) 부사장 데이비드 베이커는 최근 막대한 상금이 기업이 이 시장에 대해 실제적으로 생각하기 시작했으며 이 시장이 취약점 가격을 결정하는 곳이라는 걸 입증하고 있다고 말했다. 가치있는 버그란 크라우드소스 보안 테스팅을 원하는 기업이 일반적으로 묻는 공통 질문이 가치있는 버그가 무엇이냐는 것이다. 베이커는 "버그에 대한 시장이 성숙해짐에 따라 해답은 계속 진화할 것이다. 그러나 성공의 열쇠는 같다. 적절한 인센티브와 함께 올바른 연구원을 유치하는 것이다. 그러나 대부분의 기업이 잘 인식하지 못하는 것은 현상금 지급 범위를 결정하는 데 필요한 여러 가지 복잡성이다"라고 말했다. 정해진 범위 내에서 연구원을 적극적으로 참여하게 만들고 군중의 이목을 집중하게 만드는 보상금 설정 등으로 시작하는 프로그램은 성숙해질수록 점점 더 복잡해진다. 베이커는 보상금은 언제, 어떻게 지급할 것인지, 기업이 이 프로그램을 최대한 활용할 수 있는 방법과 같은 버그 바운티 프로그램의 범위를 정하는 노하우를 담은 몇 가지 베스트 프랙티스를 소개했다. - 처음 관계를 잘 맺어야 한다 처음 프로그램 범위를 지정할 때, 그 범위가 해당 프로그램의 성공에 얼마나 중요한 지를 인지해야 한다. 가장 간단한 형태로, 범위는 연구원에게 테스트해야 할 것과 하지 말아야 할 것을 알려주는데, 이는 자사의 크라우드 소싱 프로그램에서 자사가 원하는 결과를 얻는 데 매우 중요한 역할을 한다. 이는 가격을 책정하는...

2017.03.23

버그 포상금 실태 보고서 "포상금 늘고, 채택 산업군 증가"

2015년, 버그 포상금 시장은 사이버 공격 증가와 "상당한 보안 인력 부족"으로 인해 버그 포상금 프로그램들이 성장할 수 있었고, 주로 IT 대기업들이 프로그램을 제공하던 상황을 벗어나 전통적인 산업으로 다각화되었다. 최근 발행된 '2016 버그 포상금 실태 보고서'에 따르면 지난해 지불금이 증가하는 추세로 나타났다. 지난해, 버그크라우드(Bugcrowd) 플랫폼의 평균 버그 포상금은 200.81달러였으며, 이번으로 두 번째인 연례 보고서에서는 47% 증가를 기록해 평균 보상금이 294.70달러까지 상승했다. 버그크라우드에 따르면 DVPM(Defensive Vulnerability Pricing Model) 가이드를 발행한 이래로 2016년 1분기 평균 버그 지불금이 505.79달러로 최고치를 기록했다. 업계의 버그 포상금 프로그램 IT 업체들만이 버그 포상금 프로그램을 제공한 것이 아니었다. 지난해, 소매와 전자상거래뿐만 아니라 금융 서비스 및 은행 업종에서도 버그 포상금 프로그램이 증가했다. 금융 및 은행 산업 부문은 프라이빗 프로그램을 운영하는 경향이 있으며, 이는 버그크라우드의 취약점 공개 프로그램 산업 세부사항과 모든 공개 버그 포상금 프로그램 사이의 차이를 설명하는데 도움이 된다. Credit: Bugcrowd 이 보고서에서는 "전반적으로 금융 서비스 및 은행, 자동차, 의료, 교육, 통신, 병원, 부동산, 유틸리티, 소비재 등 더욱 '전통적인' 산업의 조직들이 연 평균 217%의 성장률을 기록했다"고 밝혔다. 그럼에도 불구하고 버그크라우드의 보고서는 "버그 포상금 시장이 빠르게 성장하고 있지만, 최근 포브스(Forbes) 2,000대 기업 목록의 기업 가운데 94%가 현재 취약점 공개 또는 버그 포상금 프로그램이 없다고 밝힌 연구 보고서에서 볼 수 있듯이 갈 길이 아직 멀다"고 밝혔다. 버그크라우드 플랫폼에서 직원...

버그크라우드 버그바운티 버그포상금

2016.06.15

2015년, 버그 포상금 시장은 사이버 공격 증가와 "상당한 보안 인력 부족"으로 인해 버그 포상금 프로그램들이 성장할 수 있었고, 주로 IT 대기업들이 프로그램을 제공하던 상황을 벗어나 전통적인 산업으로 다각화되었다. 최근 발행된 '2016 버그 포상금 실태 보고서'에 따르면 지난해 지불금이 증가하는 추세로 나타났다. 지난해, 버그크라우드(Bugcrowd) 플랫폼의 평균 버그 포상금은 200.81달러였으며, 이번으로 두 번째인 연례 보고서에서는 47% 증가를 기록해 평균 보상금이 294.70달러까지 상승했다. 버그크라우드에 따르면 DVPM(Defensive Vulnerability Pricing Model) 가이드를 발행한 이래로 2016년 1분기 평균 버그 지불금이 505.79달러로 최고치를 기록했다. 업계의 버그 포상금 프로그램 IT 업체들만이 버그 포상금 프로그램을 제공한 것이 아니었다. 지난해, 소매와 전자상거래뿐만 아니라 금융 서비스 및 은행 업종에서도 버그 포상금 프로그램이 증가했다. 금융 및 은행 산업 부문은 프라이빗 프로그램을 운영하는 경향이 있으며, 이는 버그크라우드의 취약점 공개 프로그램 산업 세부사항과 모든 공개 버그 포상금 프로그램 사이의 차이를 설명하는데 도움이 된다. Credit: Bugcrowd 이 보고서에서는 "전반적으로 금융 서비스 및 은행, 자동차, 의료, 교육, 통신, 병원, 부동산, 유틸리티, 소비재 등 더욱 '전통적인' 산업의 조직들이 연 평균 217%의 성장률을 기록했다"고 밝혔다. 그럼에도 불구하고 버그크라우드의 보고서는 "버그 포상금 시장이 빠르게 성장하고 있지만, 최근 포브스(Forbes) 2,000대 기업 목록의 기업 가운데 94%가 현재 취약점 공개 또는 버그 포상금 프로그램이 없다고 밝힌 연구 보고서에서 볼 수 있듯이 갈 길이 아직 멀다"고 밝혔다. 버그크라우드 플랫폼에서 직원...

2016.06.15

회사명:한국IDG 제호: ITWorld 주소 : 서울시 중구 세종대로 23, 4층 우)04512
등록번호 : 서울 아00743 등록일자 : 2009년 01월 19일

발행인 : 박형미 편집인 : 박재곤 청소년보호책임자 : 한정규
사업자 등록번호 : 214-87-22467 Tel : 02-558-6950

Copyright © 2022 International Data Group. All rights reserved.

10.5.0.9