주제: 버그바운티 플랫폼을 활용한 안전하고 쾌적한 게임문화 만들기

강연자 : 이영호 - 삼성 SDS(해킹존) / 소사장

발표분야 : 보안

강연시간 : 2021.11.18(목) 17:00 ~ 17:50

강연 요약 : 세계적인 보안 점검 방식인 버그 바운티에 대해서 설명하고, 한국의 보안 문화와 사내 벤처 '해킹존'을 소개했다.

---

■ 내 성을 누가 지킬까? - 소수의 용병으로?

---

'소사장'이라는 직책은, 삼성 사내 벤처의 부서장이라는 의미다. 삼성 SDS의 이영호 소사장은 '해킹존'이라는 버그 바운티 플랫폼을 운영하고 있다. 이영호 소사장은 버그 바운티란 무엇인가에 대한 설명부터 시작해 한국의 보안 문화와 '해킹존'을 소개했다.

"게임 전시회에 와서 왜 재미없는 보안에 대해 이야기하느냐고 생각하실 수도 있겠다. 나는 보안에 대해 흥미있게 들을 수 있도록 강연을 준비했다. 오늘 내가 이야기할 주제는 버그 바운티 플랫폼에 대해서다. 보안과 점검을 조금 더 쉽게 설명하기 위해 비유를 들어보겠다. 거대한 성이 있다. 성은 여러분이 만든 애플리케이션이나 게임이다. 군주는 성을 지켜줄 사람이 필요했다. 용병 소수를 고용해 성을 지키도록 명령했다."

"그러나 이런 큰 성을 소수 용병이 전부 지키기엔 무리가 있었다. 용병들은 가장 취약한 성문만 지키기로 타협했다. 바로 이것이 기존 보안 점검의 문제점이다. 소수 인력만으로는 완벽한 보안을 바랄 수 없다. 글로벌 보안 점검의 통계를 살펴보면 보안 점검에 들어가는 인력은 평균 1.5명이다. 이들은 사흘 동안 점검한다. 당신의 게임이나 애플리케이션의 모든 취약점을 찾을 수 있을까? 절대 그럴 수 없다. 그들은 법정 의무사항 위주로 점검한다. 여러분의 게임은 매주, 매달 패치가 이루어질 텐데 이런 패치 내용에 대한 점검을 매번 할 수도 없다. 비용도 비싸다. 이들을 한 달 사용하는데 들어가는 비용은 평균 1,000만 원이다."

"성은 안전한 것처럼 보였다. 그러나 한 시민이 성벽의 취약점을 발견해, 성주에게 성벽에 균열이 생겼다고 보고했다. 그러나 성문을 지키던 보안 대장에게 질타를 받았다. 왜 취약점을 찾아나느냐고, 이 취약점으로 뭘 했느냐고 추궁했다. 그 후에는 시민들이 성벽의 취약점을 발견해도 보고하지 않았다. 취약점은 점점 늘어나기 시작했다. 결국, 성은 무너졌다. 제보자에게 귀를 기울이고 있는가? 게임은 점점 변해가고, 해킹 기술은 발전한다. 취약점은 당연한 것이다. 취약점을 귀담아듣는지, 듣지 않는지가 중요하다."

---

■ 버그 바운티! - 결함 보고에 대한 칭찬과 보상

---

"버그 바운티는 시민의 결함 보고를 흘려듣지 않고, 시민에게 칭찬과 보상을 내리는 일이다. 더 많은 시민들이 결함을 보고하게 되고 무결한 성벽을 만드는 행동들이다. 기업의 제품과 서비스의 취약점 제보자를 포상하는 제도로써, 취약점을 쉽고 빠르게, 많이 발견하고 실시간 점검을 하는 것이 버그 바운티 제도다."

"제보자들은 1,000명 이상의 보안전문가들이다. 한 게임, 애플리케이션당 수백 명이 점검에 동시에 참여한다. 인력, 공수, 범위 제한 없이 다방면 대량의 취약점을 제보한다. 최초 평균 제보는 점검 시작 후 평균 10분 후부터 시작되며, 365일 24시간 내내 진행된다. 치명적인 취약점일수록 많은 보상을, 유효하지 않은 보상은 하지 않기 때문에 점검 비용은 전보다 50%가량 절감된다. 버그바운티 운영에는 많은 프로세스가 필요하고, 인력이 들기 때문에 이 모든 과정을 대행할 플랫폼이 나타날 수밖에 없다."

"플랫폼은 모든 버그 바운티 프로세스를 대행해주고, 이미 수많은 보안 전문가가 가입되어 있으며, 여러 기업과 이런 보안전문가들을 연결해주는 역할을 한다. 이미 수 많은 기업들이 버그 바운티 플랫폼을 사용하고 있다. 버그 바운티는 매우 보편적인 제도로 성장하고 있다."

---

■ 한국의 보안 문화 - 매우 보수적, 특별한 과정이 필요해

---

"그러나, 한국은 조금 예외가 필요했다. 한국의 보안 문화는 특이했다. 이미 세계 유수의 기업들이 버그 바운티 제도를 사용하고 있지만, 한국의 보안 문화는 매우 보수적이었다. 누군지도 모르는 사람들이 우리 앱의 취약점을 찾는다고? 앱에 버그를 만들면 어쩌지? 소스 코드를 훔쳐가면 어쩌지? 취약점을 소문내면 어쩌지? 한국에도 버그 바운티가 필요했음에도 보수적인 보안 문화가 쉽게 열리지 않았다."

"그래서 새로운 과정이 필요했다. 우리 해킹존은 기존 프로세스에 보안 전문가의 신원확인, 전자 서명, 취약점 암호화를 강화했다. 해킹존 플랫폼에 버그 바운티 플랫폼이 등록되면, 신원과 전자 서명을 마친 뒤에만 참여할 수 있다. 전자서명 이력은 블록체인 기반으로 관리되며, 제보된 취약점 데이터베이스는 안전하게 암호화된다. 그러나 여전히 불안해하는 기업은 존재했다. 그래도 참가자 중에 누군가는 사고를 칠 수 있다는 걱정이었다."

"그래서 조금 더 안전한 기능을 만들었다. 기존의 플랫폼은 보안 전문가가 모든 프로그램에 참가할 수 있었다. 여기에 비공개 버그 바운티를 추가했다. 해당 분야에 취약점을 잘 찾는, 신원과 실력이 인증된 인원만 해당 버그 바운티에 참가할 수 있게 만들었다. 여기에 더 특별한 기능까지 추가했다. 진짜 성을 복제한 가짜 성을 점검해보면 어떨까? 그럼 더 확실한 취약점을 찾을 수 있었다. 사고 걱정도 없고, 점검 효과도 매우 높다고 설명했다. 아무리 보수적인 한국 보안 문화에서도 가상 성을 공격하는 것은 받아들일 수 있는 선이었다. 해킹존은 모든 버그 바운티 참가자들에게 가상 환경에 들어갈 수 있는 장비인 VDI를 제공한다."

"여러분들이 운영하는 게임, 앱의 보안은 완벽하다고 얘기할 수 있는지? 버그 바운티에 참가하면 완벽함을 증명할 수 있다. 부족하다고 얘기할 건가? 버그 바운티에 참가하면 부족함을 채울 수 있다."