버그 헌터들, 돈과 재미, 명성 노리고 움직이는 경우가 대부분
좋은 일 하는 것 혹은 나라 위한 애국 행위로 여기는 경우도 있어

[보안뉴스 문가용 기자] 버그 바운티 헌터란 어떤 사람들일까? 왜 민감할 수 있는 취약점을 그토록 찾아 헤매는가? 무엇이 그들에게 그토록 동기부여가 되는가? 도대체 머릿속에 어떤 생각을 가지고 있는 사람들인가? 이런 궁금증을 해소하기 위해 최근 버그크라우드(Bugcrowd)라는 취약점 공유 커뮤니티에서 “해커의 마음 속(Inside the Mind of a Hacker)”이란 연구를 실시했다.


먼저 버그 헌터들이 보유한 기술에 대해 버그크라우드는 알아봤다. 그 결과 버그 헌터들 대부분(95%)이 웹 애플리케이션 시험 능력을 중급 혹은 상급으로 보유하고 있다고 답했으며, 그중 48%는 안드로이드, 28% iOS, 15%는 IoT에 특화되어 있다고 답했다. 그럼에도 해킹 관련 커뮤니티의 평균 연령은 매우 어린 것으로 나타났다. 응답자의 60%가 18~29세였고 30~44세 사이에 놓인 이는 34%를 차지했다.

직군별로 보면 학생이나 IT 정보보안과 전혀 다른 분야에 종사하는 사람이 제일 많았다. 버그 헌팅을 전문으로 하는 사람도 약 15%나 되었고, 언젠가 전업으로 버그 헌팅만 하고 싶다는 건 거의 대부분 응답자의 바람이기도 했다. 이를 바탕으로 버그크라우드는 “버그 헌터의 숫자가 점점 더 늘어날 것으로 보인다”고 예상하기도 한다.

그렇다면 이들이 버그를 잡기 위해 애쓰는 이유는 도대체 무엇인가? 이는 직업군, 경험, 수준 등에 따라 너무 다양하게 나뉘어져서 한 번에 정리하기가 힘들다고 버그 크라우드는 밝히고 있다. 예를 들어 버그 헌팅에 새롭게 뛰어든 이들에게는 ‘지적 호기심’과 ‘재미’가 가장 주요한 동기이고, 친구 따라 오는 이들도 많았다. 심지어 ‘자기 자신의 보안 점검을 해보다가 재주가 있는 걸 깨달았다’고 밝힌 사람들도 적지 않았다.

반면 버그 헌팅 경험이 충분하거나 정보보안에서 꽤나 긴 시간 몸 담아온 사람들 대부분은 ‘금전적인 목적’이 가장 주요했다. 이들은 버그 헌팅만 해도 먹고 살 정도로 실력이 좋고 업계 내 인지도도 쌓아온 사람들이었다. 그밖에 어떤 동기가 이들을 움직이고 있을까? 대표적인 것 몇 가지를 꼽아 보았다.

돈, 돈, 돈
해커원(HackerOne)의 CEO인 마튼 미코스(Marten Mickos)는 “너무 뻔한 질문”이라며, “해커들 대부분 버그를 찾는 이유로 돈을 꼽을 것”이라고 답한다. “나쁜 의도에서건 좋은 의도에서건 해킹으로 돌려받을 수 있는 금전 보상은 꽤나 두둑한 편”이기 때문이다.

하지만 취미로 해킹을 하는 이들에게 돈은 그다지 중요한 요소가 아니다. 이런 부류에게 있어 해킹으로 얻은 수익은 용돈에 불과하다. 버그크라우드는 “이들은 해킹 자체가 즐거워서 하는 거고, 뭔가 어려운 퍼즐을 푸는 느낌으로 도전 과제에 임한다”고 설명한다. 이런 사람들 중 22%는 소프트웨어 엔지니어 및 개발자이고, 19%는 침투 테스터, 18%는 보안 엔지니어, 16%는 학생들이었다.

버그크라우드의 해커 연구자인 마티아스 칼슨(Mathias Karlsson)은 “현금이 주요 목적은 아닌 것 같다”고 말한다. “그렇게 생각하는 건 보통 업계 외부인들 아닌가요? 해커란 단어의 원래 뜻이 특정 기기나 애플리케이션의 다양한 한계를 탐구하는 자입니다. 해커들 대부분에게 해킹이란 지적 게임입니다. 그 카타르시스를 느끼기 위해 해킹을 하는 거죠. 돈은 부수물일 뿐입니다.”

도전 과제
웹 해킹을 주 종목으로 하고 있는 칼슨은 “지적인 도전”을 첫 손에 꼽는다. 이는 특정 시스템 및 애플리케이션 혹은 기기에 대한 스스로와의 도전일 수도 있지만, 같은 해커들끼리의 경쟁 역시 여기에 속한다고 한다. 즉, 해커들 사이에서도 ‘실력으로’ 인정받고 싶어 하는 욕구가 강하다는 것이다. 칼슨 자신은 “문제 해결 능력을 시험해보고 싶어서” 해킹을 한다고 한다. 이게 금전적인 욕구보다 더 강력하다고.

미코스 역시 여기에 동의한다. “해커들에게 취약점이란 보석과 같은 존재죠. 취약점을 찾는 건 퍼즐 조각을 맞추는 것과 비슷합니다. 그래서 사실 돈 안 주는 버그바운티도 알게 모르게 많은데, 이는 해커들의 이런 심리 때문에 성립이 가능한 겁니다.”

교육과 이력 관리를 위해
비교적 젊은 해커들 사이에서는 “교육과 이력 쌓기가 목적이 되는 경우가 많다”고 미코스는 설명한다. “일단 이 계통에 처음 들어오는 사람들에겐 ‘이력서’에 들어갈 화려한 스펙을 쌓는 게 중요한데, 버그 헌팅 관련 실적도 충분히 훌륭한 내용이 되죠. 불법적인 것도 아니면서 자기 실력을 드러낼 수 있습니다.”

예를 들어 어도비나 GM 등 유명한 업체들의 제품에서 취약점을 찾으면, 마치 국가 훈장과 비슷한 역할을 한다고까지 미코스는 비유한다. 실제로 해커원에서 비슷한 조사를 실시했을 때 응답자의 64.3%가 이력서 쓰기 위해 해킹한다고 답하기도 했다.

이에 반해 나이가 좀 있는 해커들에게 버그 헌팅은 교육을 목적으로 하는 경우가 많다. 물론 새로운 해킹 기술에 대한 자습도 여기에 포함되지만 대부분은 다른 사람을 가르치는 경우에 버그 헌팅이 활용된다. “자기는 버그 헌팅으로 보상금을 받고, 그런 후 자기가 발견한 것들을 후배들에게 가르치는 ‘프로’들이 많습니다. 굉장히 실제적이고 피부에 와 닿는 교육 재료가 되는 것이죠.”

좋은 일을 한다는 보람
“의외로 많은 버그 헌터들이 ‘좋은 일을 하고 싶어서’ 버그 헌팅에 참여합니다. 아마도 인간의 본성과 관계된 생각인 듯도 합니다. 물론 이 경우 일반인들을 도우면 더 좋겠지만, 보통은 애틋한 마음을 동료 버그 헌터들에게 품는 사람들이 더 많더라고요.” 미코스의 설명이다. “거의 항상 ‘올바른 일을 하는 것’이라는 변명들을 합니다. 그게 가장 주요한 동기는 아니더라도, 어디엔가 반드시 들어가더군요.”

칼슨은 버그 헌터들 사이에서 “스스로가 사회 전체 혹은 인류 전체에 지대한 공헌을 하고 있는 것”이라고 생각하는 사람들이 상당히 많다고 설명한다. “특히 인터넷 환경을 보호해야 한다는 생각이 제일 많습니다. 이렇게 생각하고 행동하는 버그 헌터들 중 절반 가까이가 정보보안 업계에서 3년 이상 경력을 쌓아왔고, 32%가 5년 이상의 경력을 보유하고 있었습니다.” 즉, 3년 이상의 경력을 쌓으면 보호해야 할 것들이 눈에 차고 넘치게 보인다는 뜻이다. 이는 우리 인터넷 환경의 현실일 수도 있다.

애국심
버그 헌터들 사이의 주류 ‘동기’는 아니지만 분명히 애국적인 목적으로 해킹을 하는 사람들도 존재한다. 특히 정보보안 산업이 약한 나라의 버그 헌터들 혹은 해커들 중에 애국심을 동기로 삼는 사람들이 많은 것으로 나타났다. “이런 류의 버그 헌터들은 ‘우리 나라에는 좋은 기술을 가진 착한 사람들이 많다’는 인상을 심어주고 싶어 합니다.”

단순 재미
돈이고 뭐고, 애국심이고 인류 공헌이고, 단순히 재미있으니까 하는 버그 헌터들도 많다. “마치 게임을 하듯 재미를 추구하기 위해서 서로 뭉치고 정보를 교류하며 해킹을 하는 사람들도 제법 있습니다. 친구들끼리 해킹을 해보거나, 해킹을 하다가 친구가 되는 경우도 많죠. 마치 해킹이 소셜미디어와 같은 역할을 합니다. ‘재미’라는 순수한 목적을 바탕으로 움직이기 때문에 의외로 해킹 효과도 좋습니다.”
Copyrighted 2015. UBM-Tech. 117153:0515BC
[국제부 문가용 기자(globoan@boannews.com)]

<저작권자: 보안뉴스(www.boannews.com) 무단전재-재배포금지>