• Korea Council of Chief Information Security Officers
      회원안내      

자료실

  • HOME
  • 자료실
  • 보안 제품정보

자료실

보안 제품정보

화이트 햇의 활동범위, 어디까지 허용할까? 2015.01.28

취약점 발견을 견인하는 화이트 햇의 여건 개선으로 확대 이루어져야


[보안뉴스 주소형] 화이트 햇(White Hat)의 규모가 커지고 다양해지면서 온라인 취약점을 찾는 데 가속이 붙었다. 펜실베니아 주립대학교 보고서에 따르면 화이트 햇의 성장이 SQL(structured query language: 데이터베이스 하부 언어) 주입 및 교차 사이트 스크립팅(Cross Site Scripting) 등과 같은 취약점 발견 확대를 견인하고 있다.


이에 따라 기업에서 보안성 강화를 위해 취약점을 찾아낸 사람에게 포상금을 지급하는 제도인 ‘버그 바운티(Bug Bounty)’가 각광받기 시작했다. 이번 보고서를 작성한 연구원들은 안전산업에 이러한 새로운 인력 확충을 권고하고 있다.


해당 보고서는 펜실베니아 주립대학교 정보 과학 기술과의 젠스 그로스래그(Jens Grossklags) 조교수, 카이 첸(Kai Chen) 초빙연구원, 밍기 자오(Mingyi Zhao)  박사과정 학생이 3년 5개월간 중국 내 온라인 취약점 전문 사이트인 우연(Wooyun)을 연구한 결과다.


그로스래그 조교수는 “우연은 타 버그 바운티나 취약점 공개 프로그램보다 심도 깊은 연구를 지지하고 있다”며 “따라서 연구의 깊이가 깊어졌고 실적이나 취약점 등을 보다 상세하게 연구하여 구체적인 결과를 도출할 수 있었다”고 말했다. 금번 연구 참여자 중 한 명인 자오(Zhao)는 “우연은 완벽하게 활짝 열린 취약점 공개 프로그램을 갖추고 있는 유일한 회사다”라며 우연을 연구한 이유에 대해 설명했다.

이번 연구에 참가한 연구원들은 모두 버그 바운티 시장이 더욱 활성화되어야 한다고 입을 모았다. 또한 그들은 우연 이용자가 증가함에 따라 발견되는 취약점의 유형이 바뀌는 점을 찾아냈다. 심각한 오류에 관한 보고들이 늘어나면서 상대적으로 덜 위험한 취약점에 대한 정보가 줄어든 것. 알짜배기가 늘었다는 것이다. 이는 버그 바운티 헌터들의 경쟁률을 높이면서 그들의 질을 향상시키는 선의의 경쟁에서 비롯된 결과이면서 동시에 그런 것을 부추기는 기폭제 역할도 하고 있다.

우연에서 주로 활동하고 있는 화이트 해커 조직은 ‘헤드 조직’과 ‘테일 조직’으로 나눠진다. 먼저 ‘헤드 조직’의 경우 191명의 최고 연구원들로 이루어진 작은 조직이다. 이들은 한 사람당 한 번에 평균적으로 43개 이상의 오류를 찾는다. 대부분의 헤드 그룹 연구원들은 SOL 침입과 교차 사이트 스크립팅 형식의 취약점을 찾는 데 특화되어 있다.


‘테일 조직’은 3,063명의 연구원으로 이루어진 대규모 조직으로 한 사람당 평균적으로 3개의 취약점을 찾아낸다. 그렇다고 해서 그들이 중요하지 않다는 뜻은 아니다. 그들은 접근 권한 우회, 명령 실행, 논리 오류 등과 같은 찾기 힘든 취약점들을 공략하고 있기 때문이다.


보고서는 또한 기업들은 심각한 취약성을 찾아낸 이들에게 모두 보상을 해야 한다고 주장하고 있다. 아직까지는 보고된 사항의 2~4%정도만 보상되고 있다는 자료도 함께 남겼다. 이어서 보고서는 보상의 범위를 넓히고 보상 수준을 높여야지 화이트 해커들이 늘어난다고 강조했다.


미국인의 입장에서 우연이라는 사이트가 가진 시스템은 대단히 흥미롭다. 우연의 사용자들처럼 남의 사이트 보안성을 확인하기 위해 사이트 주인의 허락도 받지 않고 이 구석 저 구석 검사해보는 건 미국에선 불법이기 때문이다. 화이트 햇 커뮤니티를 미국에서 가동시키려면 기업 측에서 먼저 해킹 제발 해주십사 부탁해야 한다. 물론 그럼에도 꼭 지켜야 할 약속 같은 게 전제조건처럼 주어진다.


자오 연구원은 “미국 내에서 버그 바운티를 수용하는 문화가 자리 잡고 있다”며 “하지만 아직 우연과 같은 공격성은 띄기 어렵다”고 강조했다. 기저에 깔린 법 체계가 아예 다르기 때문이라고 한다. 아직 미국에서는 우연에서처럼 화이트 해커들이 자유롭게 분석할 웹사이트를 결정해 마음껏 이리 저리 해체해볼 법적 근거가 마련되어 있지 않다.

그로스래그 연구원은 “이런 분야에 대한 법이 아직 체계가 잡혀있지 않은 상황이다. 최근 오바마 대통령이 이를 보강하려고 애를 쓰고 있지만, 실제 얼마나 도움이 될 법이 발의될 지는 더 두고봐야 할 일이다”라고 말을 맺었다. 

@DARKReading

[국제부 주소형 기자(sochu@boannews.com)]


<저작권자: 보안뉴스(http://www.boannews.com/) 무단전재-재배포금지>