‘내 것’의 허가 없는 분석에 대한 공포감 아직도 잔재

침투 실험과 버그바운티, 아직은 동반되어야 할 보안 요소

[보안뉴스 문가용] 오라클의 CSO인 메리 앤 데이비슨(Mary Ann Davidson)이 얼마 전 블로그에 남긴 글 때문에 정보보안 업계에 파장이 적지 않다. 업계에 종사하고 있는 사람들이라면 찬성이든 반대든 생각해볼만한 글이었고, 특히 버그바운티 제도를 혹독하게 비판한 내용은 보안 업계 전체를 혼돈의 도가니로 인도했다. 얼마나 그 반응이 뜨거웠는지 해당 글은 현재 지워진 상태다.

그 글의 주요한 포인트를 몇 가지 복기해보자면 먼저 1) 대부분 기업들이 확인도 제대로 되지 않은 툴이나 보고서로부터 온 잘못된 경보에 반응해 귀중한 시간을 버린다, 2) 보안을 공격적으로 했을 때 혹은 SDL(Security Development Lifecycle, 정보 개발 생애주기)을 적용했을 때 얻는 것이 훨씬 많다,를 꼽을 수 있다. 제품 출시 단계에서 충분한 버그 테스트나 침투 테스트를 거치지 않는다면 그건 보안취약점을 가지고 ‘두더지 잡기’를 시작하는 꼴이라고 했는데, 이에 동의하지 않는 사람은 거의 없었다.

하지만 그 다음에 이어지는 표현들, 특히 버그바운티를 겨냥한 듯한 언급은 많은 사람들을 격하게 만들었다.

- “당신들에게 코드 분석을 요청한 적도 없고, 그러라고 부탁하지도 않을 것이다. 오라클 내에서 이미 충분히 수행하고 있는 일이며 잘 하고 있기도 하다.”

- “오라클이 라이선스 조건을 보다 까다롭게 하는 데에는 이유가 있다. 오라클의 코드를 분석하는 데에 외부인들이 넘지 말아야 할 선이 있고, 이를 넘을 경우 강력한 경고장을 받게 될 것이다.”

- “취약점의 87%는 우리가 내부에서 직접 찾아낸다. 보안 전문가 그룹이 찾아낸 건 3%, 나머지는 우리 고객들이 찾아낸다.”

- “경보를 발생한다고 하더라도 당신들에게 감사할 일은 없을 것이다. 우리 코드를 멋대로 분석한 당신들에게 설마 머리를 숙이리라고 생각하고 있지는 않겠지?”

물론 이 말을 처음 듣는 보안 전문가라면 격하게 분노할 수도 있겠다 싶지만, 사실 이런 사고방식은 회사를 막론하고 경영진들 사이에서 꽤나 흔하게 발견할 수 있다. MS만 하더라도 취약점을 알려주는 것으로 보상을 바라지 말라는 언급을 꽤나 오랫동안 공공연히 해왔다. 화이트 해커 커뮤니티와 친해짐으로써 회사도 좋고 커뮤니티도 득을 보는 공생의 방법을 깨닫고 익히기 전까지 말이다.

‘내걸 왜 허락도 없이 분석하는가?’라는 질문은 소유주로서 당연히 가질 수 있는 의문이다. 하지만 보안을 혼자서 온전히 감당할 수 있는 사업이나 업체는 있을 수 없다는 걸 간과해서는 안 된다. 특히나 방어가 자꾸만 실패하는 요즘엔 모든 수단을 다 동원하는 게 당연하다. 그것이 해커라도 말이다. 메리 자신이 말했듯 ‘공격적인 보안’이 더 권장되어야 하는 상황에서 취약점 제보에 대가를 지불한다는 건 당연히 있어야 할 절차가 아닐까. 우리 내부 인원들 더 잘하느니 마느니의 문제가 아니라, 외부 인재와 내부 인재의 조화를 꾀해야 하는 시대가 아니겠느냐는 거다. 발레와 힙합도 접목되는 시대에 말이다.

침투 실험의 초기 때에도 비슷한 논란 있었다

애플리케이션에 침투 실험을 한다는 개념이 처음 등장했을 때에도 이와 비슷한 논란이 있었다. ‘당신들의 애플리케이션을 악의 없이 해체해보도록 해주면 큰 도움이 될 것’이라는 걸 이해시키는 게 불가능에 가까울 정도로 힘들었다. 조금 깨인 회사들이라면 침투 실험 제안을 받아들이고 화이트 해커들과의 관계도 넓혀나갔지만, 대부분은 손사래를 치고 다신 연락하지 말라고 했다. 우리 내부 인원으로도 충분하다는 게 가장 흔한 답변이었다. 바로 위에 언급한 논란의 블로그 내용과 정확히 일치하는 것이다. 하지만 지금은 어떤가? 침투 실험을 하지 않는 곳 찾는 게 힘들 정도가 되었다.

외부인이 내 것을 분석하고 실험한다는 측면에서 버그바운티 제도나 공식 침투 실험은 다르지 않으며 반드시 필요하다. 혹자는 버그바운티를 활용하면 가격 효율을 높이면서도 침투 실험과 비슷한 효과를 얻을 수 있을 거라고까지 말한다. 하지만 이는 적어도 아직까지는 버그바운티가 필요 없다고 하는 주장과 똑같이 잘못된 주장이다. 왜냐하면 누군가 고정적으로 오랜 기간 파트너가 되어서 침투 실험을 전문적으로 해주는 것과 잠깐 들려 훑고 지나가는 바운티 사냥꾼들과는 깊이에서 차이가 나기 때문이다. 고로 실험 결과의 질이 아직까지는 확연히 다른 것이 일반적이다. 누군가는 겉면을 빠르게 훑어야 하고, 누군가는 깊이 파고 들어야 한다. 깊이와 넓이, 우린 지금 어느 것 하나 놓칠 수 없는 상황이다.

탐지에서 경보까지

오라클처럼 규모가 큰 기업에서는 경보에 굉장히 민감하다. 잘못된 경보에 시간을 투자하다가 진짜 경보를 놓쳤을 때의 리스크가 크기 때문이다. 일단 가진 게 많은 사람이 잃을 것도 많은 것처럼, 오라클 정도 되는 회사라면 명성에 금이 가는 것도 대단한 손실이라고 할 수 있다. 그래서 오라클의 내부 보안 전문가들은 ‘진짜 중요한 경보’와 ‘가짜 경보’를 구분 하는 데에 큰 힘을 쏟는다.

이 지점에서 버그바운티 제도가 빛을 발한다. 보통 회사가 받는 취약점 보고 혹은 경보 중 실제로 중요하거나 치명적인 건 비율이 굉장히 낮다. 구글이 7% 정도라고 한다. 하지만 버그바운티를 통해 들어오는 경보 중 ‘진짜’의 비율은 플랫폼에 따라 23%에서 44%까지 상승한다는 통계 자료가 있다. 버그바운티를 잘 흡수한다면 내부 보안 전문 인력의 노력을 상당히 아낄 수 있지 않을까.

모든 소프트웨어에는 버그가 살고 있다

한 보안 전문 블로거에는 다음과 같은 글이 있다. “혼자 모든 걸 찾아낼 수 있는 툴은 없다. 두 가지 툴을 가지고도 모든 걸 찾아낼 수는 없다. 이를 세 개, 네 개로 늘려나가도 마찬가지다. 우리는 영원히 모든 걸 완벽하게 찾아낼 수 없기 때문이다.”

가슴에 꽉 차오르는 글귀였다. 현대의 정보보안이 ‘전부를 포괄하는 큰 맥락 안에서의 보안’을 추구해야 하는 이유를 아주 멋들어지게 표현한 것이라고 감히 평한다. 툴로만 모든 게 해결될 수는 없다. 보안에는 인간의 요소, 환경의 요소, 여러 사업의 요소들이 고루 섞여 들어가기 마련이다.

버그바운티도 마찬가지다. ‘버그바운티’라는 이름 안에 모든 제도가 같아 보일 수 있지만 실상은 절대 그렇지 않다. 회사마다 조직마다 각양각색의 버그바운티를 운영하고 있고, 그러는 것이 맞다. 모든 보안 구멍을 다 메워줄 완벽한 버그바운티 제도란 존재하지 않는다. 버그바운티로 모든 걸 찾아낼 수는 없다. 여타 다른 보안 툴이나 프로그램처럼 말이다.

버그바운티에 대한 찬반 논란이 아직까지 뜨겁다. 난 그 이유가 아직 시작단계에 있는 제도이기 때문이라고 생각한다. 더 발전해야 할 구석이 상당히 있다는 것이며, 버그바운티에 대한 부정적인 의견들은, 버그바운티를 찬성하는 이들이 보지 못하는 지점을 짚고 있다고 본다. 위 블로그에서 주인장은 “버그바운티 논란은 마치 보이밴드가 처음 떠오르던 때를 연상케 한다”고 묘사했다. 비틀즈가 처음 등장했을 때 모두들 그저 한철 유행이라고만 생각했던 것처럼.

결국 비틀즈는 음악계에 막강한 영향력을 발휘하는 그룹으로 전설처럼 남아있게 되었다. 버그바운티의 미래는 어떤 것일까. 물론 우리하기 나름이겠지만 바라기는 보안의 좋은 친구로 기억되기를 바란다.

글 : 케이티 무수리(Katie Moussouris)

Copyrighted 2015. UBM-Tech. 117153:0515BC

[국제부 문가용 기자(globoan@boannews.com)]

<저작권자: 보안뉴스(http://www.boannews.com/) 무단전재-재배포금지>