버그 바운티(bug bounty) 프로그램은 2024년에도 사이버 보안 전략의 중요한 구성 요소다. 이는 조직이 여러 사이버 보안 전문가 및 연구원의 도움을 받을 기회이며, 새로운 위협에 대한 지속적인 테스트를 지원할 수 있는 방편이다.

버그 바운티 프로그램이란?
버그 바운티 프로그램은 개인이 보안 취약점 및 버그를 발견하고 신고할 수 있는 시스템을 일컫는다. 이런 프로그램은 대부분 조직, 웹사이트, 소프트웨어 개발자가 제공한다. 악의적 사용자가 취약점을 악용하기 전에 윤리적 해커의 기술로 소프트웨어와 시스템의 보안을 강화하려는 목적에서 고안됐다.

버그 바운티 헌터라고도 부르는 참가자는 프로그램이 적용되는 자산의 취약점을 성공적으로 신고할 경우 금전적 보상이나 다른 형태의 표창을 받는다. 다만 피싱과 같은 소셜 엔지니어링 수법을 통한 취약점은 일반적으로 제외된다.

2024년에 주목할 버그 바운티 프로그램
윤리적 해커의 버그 바운티 활동에 있어 최근의 모범 사례는 자동화된 도구만 실행하는 것이 아니라 대상 조직의 기술 스택을 철저히 정찰하는 작업이다.

대표적인 버그 바운티 플랫폼인 버그크라우드(Bugcrowd), 해커원(HackerOne), 사이낵(Synack), 예스위핵(YesWeHack), 인티그리티(Intigriti)는 보안 취약점을 식별하고 신고하는 이들에게 보상금을 제공하고 있다. 이런 플랫폼은 윤리적 해커와 조직을 연결해 취약점 공개 및 해결을 위한 프레임워크를 제공하고 기업 고객을 대신해 버그 바운티 보상을 관리한다.

기술 기업과 정부 기관은 침투 테스트가 포함된 광범위한 보안 테스트 전략의 일환으로 독립적인 버그 바운티 프로그램을 운영하기도 한다.

2024년에 시작된 주목할 만한 버그 바운티 프로그램을 소개한다.

버그 신고 보상금을 상향 조정한 알파벳
알파벳은 시스템이 점점 더 고도화됨에 따라 버그를 발견하기가 더 어려워졌다고 판단해 부터 버그 바운티 프로그램을 통해 제공하는 보상금을 최대 15만 1,515달러로 인상했다.

보상금은 신고된 버그의 질적 수준에 따라 달라지며, 고품질의 버그를 신고할 경우 기본 보상금의 50%를 보너스로 받는다. 반대로 유효하긴 하지만 품질이 낮은 취약점을 신고하면 받을 수 있는 보상의 절반만 받게 된다.

예를 들어 지메일(Gmail) 계정 탈취 위험을 초래하는 논리 결함의 경우 5만 달러에 품질 보너스 50%를 추가해 최대 7만 5,000달러가 지급된다. 인상 전까지는 동일한 버그에 대해 1만 3,337달러만 받을 수 있었다.

구글 웹 서비스, 크롬 브라우저, 안드로이드 및 구글 기기는 모두 구글의 취약점 보상 프로그램(VRP) 범위 내에 있다.

마이크로소프트, 장기간 지속해 온 취약점 공개 제도 개선
마이크로소프트도 지난해 버그 신고 보상금을 크게 늘렸다. 2020년부터 2023년까지 버그 바운티 프로그램을 통해 연간 약 1,300만 달러를 지급했지만, 2024년에는 1,660만 달러 수준으로 책정했다.

보상금은 총 55개국 343명의 보안 연구원에게 지급됐다. 애저, MS 아이덴티티, 엣지, 윈도우 및 오피스 365를 비롯한 클라우드 서비스가 모두 이 의 대상이다. 

마이크로소프트는 버그 바운티 프로그램 관련 에서 “보안 환경과 마이크로소프트의 공격 표면이 진화함에 따라 버그 바운티 프로그램도 개선되고 있다. 새로운 마이크로소프트 제품 및 서비스를 포함하도록 범위를 확장하거나 악의적인 행위자 및 새로운 공격 벡터로부터 보호하기 위해 연구 대상을 조정하는 등 버그 바운티 프로그램은 지속적으로 개선되고 있다”라고 밝혔다.

지난 4월에는 AI를 위한 새로운 버그 바운티 프로그램을 도입해 의 검증된 취약점을 보고한 경우 최대 15,000달러를 지급한다.

보안 위협을 차단하기 위해 자체적으로 나선 영국 국방부
지난 2월 )는 해커원과 협력해 방어적 보안 이니셔티브를 확대한다고 발표했다.

3년 전 시작된 이 이니셔티브의 원래 범위는 취약점 공개 및 버그 보상금 프로그램이었다. 이제 국방부는 광범위한 계획 하에 공급망 보안을 개선하고 궁극적으로 자체 취약점 공개 프로그램을 도입하도록 이끌기 위해, 취약점 공개 프로그램(VDP)의 범위를 넓히고 주요 벤더 몇 곳을 포함시켰다.

서비스형 클라우드 소프트웨어 플랫폼 업체인 카후츠(Kahootz)는 벤더 VDP 프로그램을 위해 초기에 채택된 기업이다.

영국의 이 제도는 부분적으로 미국의 ‘’ 프로그램에서 영감을 받았다. 

백팩(Backpack) 거래소의 치명적 취약점, 최대 10만 달러 보상금 지급
더 많은 수익을 원하는 이들이라면 비수탁형 지갑과 브라우저 확장 프로그램에 중점을 둔 거래소인 백팩의 결함을 찾아볼 수 있다. 이뮨파이(Immunefi)가 주최하는 해당 버그 바운티는 지난 7월 시작됐으며, 백팩의 웹 또는 API에서 확인된 취약점에 대해 최대 10만 달러 보상금을 지급한다.

AI 스타트업 앤트로픽도 버그 신고 프로그램 출시
AI 기업 앤트로픽은 8월부터 해커원이 관리하는 VDP를 시작했다. 이를 통해 CBRN(화학, 생물학, 방사능, 핵) 및 사이버 보안과 같은 고위험 영역의 취약점을 노출할 수 있는 새로운 범용 탈옥 공격에 최대 1만 5,000달러의 포상금을 내걸었다.

AI 탈옥 공격은 AI 시스템에 내장된 안전 조치와 윤리적 가이드라인을 우회하는 방법으로, 일반적으로 차단돼야 할 AI 시스템의 반응이나 행동을 유도할 수 있다.

앤트로픽은 에서 “차세대 AI 보호 시스템을 개발하는 과정에서 버그 바운티 프로그램을 확장하고 새로운 이니셔티브를 도입한다. 이는 모델의 오용을 방지할 때 사용하는 완화 기능의 결함을 찾는 데 초점을 맞춘다”라고 밝혔다.

대개 VDP는 금전적인 보상은 없지만 보안 연구자들이 버그를 쉽게 신고할 수 있는 체계적인 시스템을 제공한다. 최근에는 많은 조직이 VDP에서 본격적인 보상을 제공하는 버그 바운티 프로그램으로 전환하고 있다. 

앤트로픽의 는 공개 웹사이트와 클로드 iOS 앱, 클로드AI 도메인, 내부 앱 및 서비스, API 및 소프트웨어 개발 키트 등 디지털 자산을 포함한다.

프랑스 정부 기관, 최대 5,000유로 제공
프랑스 정부의 디지털 전환을 담당하는 기관인 프랑스 디지털 혁신국(DINUM)은 을 통해 버그 바운티 프로그램을 제공하고 있다.

지난 2월 시작된 이 프로그램의 주요 대상은 DINUM의 웹 애플리케이션과 API다. SQL 인젝션, 크로스 사이트 스크립팅, 크로스 사이트 요청 위조 및 원격 코드 실행을 포함한 전형적인 웹 애플리케이션 보안 취약점에 대한 신고를 받고 있다.

범위 내 자산에 대한 유효한 자격 증명을 노출하는 공격에 대해서는 최대 5,000유로의 보상금을 지급한다. 다만 민감한 정보 유출에 대한 신고는 프로그램 범위에서 제외된다. 

버그 신고 접수 중인 넷플릭스
넷플릭스의 버그 바운티 프로그램은 해커 커뮤니티의 보안 취약점 신고를 크라우드소싱해 제품 및 서비스의 보안을 강화하려는 목적으로 고안됐다.  공개된 이 프로그램은 버그크라우드에서 호스팅하다 해커원으로 이전됐다.

프로그램의 최신 버전이  출시됐으며, 중요한 취약점에 대해 최대 2만 5,000달러의 보상금을 제공한다. 주요 표적에는 넷플릭스 웹사이트의 사용자 경험이 포함되며, 콘텐츠 인증을 무력화하거나 개인 키를 획득하는 방법은 심각도가 높은 대상으로 분류된다. 넷플릭스의 iOS 및 안드로이드용 모바일 앱도 대상에 포함된다.

에어비앤비(Airbnb)의 버그 바운티 프로그램
는 지난 5월 해커원을 통해 버그 바운티 프로그램을 개편했다. 웹사이트나 모바일 앱의 결함을 발견한 윤리적 해커에게 최대 2만 5,000달러의 보상금을 지급한다.

온라인 홈스테이 마켓플레이스의 광범위한 웹 애플리케이션 보안 취약점을 대상으로 하는 이 프로그램은 2015년 처음 시작된 이후 총 240만 달러의 보상금을 지급했다. VDP를 통해 현재까지 1,394건의 신고가 해결됐으며, 평균 보상금은 500~750달러 선이다.

버그 바운티에 나선 몬조(Monzo) 은행
지난 7월 영국의 디지털 은행 몬조는 인티그리티를 통해 을 시작했다. 이 프로그램은 검증된 중요 취약점 발견에 대해 최대 1만 2,500유로를 지급한다.

대상은 은행 웹사이트, API, 내부 도구 및 모바일 앱이다. 

그라파나(Grafana), 소스코드 결함을 없애기 위해 해커에게 도움 요청
모니터링 및 통합 가시성을 위한 오픈소스 플랫폼인 그라파나는 지난 5월 인티그리티를 통해 버그 바운티 프로그램을 시작했다. 중요하고 검증된 취약점을 보고하면 최대 1만 5,000유로를 받을 수 있다.

해당 프로그램은 윤리적 해커들이 그라파나 소프트웨어의 결함을 더 많이 발견하도록 인센티브를 제공하는 데 초점을 맞췄다. 기본으로 설치되지 않는 그라파나 랩(Grafana Labs) 개발 의 경우 접수는 되지만 보상금은 받을 수 있다. 

블루핀(Bluefin) 버그 바운티 프로그램, 최대 5,000달러 지급
블루핀은 지난 7월 이뮨파이와 함께 을 시작했다. 블루핀 웹사이트와 관련 자산이 주요 대상이며, 최대 5,000달러의 보상금을 제공한다.

보상금을 지급하는 웹 보안 취약점에는 SQL 인젝션, 크로스 사이트 요청 위조, 민감한 정보 유출을 초래하는 버그 등이 포함된다. 비즈니스 로직 문제와 결제 조작도 잠재적 보상 대상에 해당한다.dl-ciokorea@foundryco.com