세계 버그바운티 시장에서 가장 각광받는 인도 보안 전문가들
인도 기업들은 버그바운티 못 믿어...한국도 비슷한 사정

[보안뉴스 문가용 기자] 버그바운티 산업이 확장되어 가는 가운데, 세계에서 가장 많은 수익을 올린 해커들의 국적은 어디일까? 버그바운티 플랫폼이자 보안 전문가들의 세계적인 커뮤니티인 버그크라우드(BugCrowd)에서 집계한 바에 의하면 인도다. 국가별로 통계를 낸 것은 아니지만, 상위 해커들 목록에 인도인이 대다수 포진된 것.


그뿐만이 아니다. 버그바운티를 수시로 운용하고 있으며 해커들을 자주 고용하는 것으로 알려진 페이스북에서도 “2016년도 상반기를 기준으로 인도 해커들에게 가장 많은 상금을 수여했다”고 밝히고 있다. 또 다른 버그바운티 커뮤니티인 해커원(HackerOne)에서 활동하는 보안 전문가들 중 인도인의 수가 가장 많다. 야후, 우버, 록스타게임즈 등 세계적으로 손꼽히는 회사로부터 700번 이상의 상금을 받은 긱보이(Geekboy)라는 보안 전문가 역시 인도인이다.

이는 인도가 세계적인 IT 강국이라는 뜻이라고 해커원의 창립자인 미키엘 프린스(Michiel Prins)는 설명한다. “소프트웨어를 만들 줄 아는 사람들이야말로 제일 잘 깨부술 수 있거든요. 인도의 젊은 IT 전문가들이 취약점을 그 누구보다 잘 발견할 수 있다는 건, 거꾸로 말해 인도의 개발 능력이 뛰어나다는 겁니다.”

그런데 이상하게도 인도의 IT 기업 중 버그바운티를 실시하는 기업은 얼마 되지 않는다. 세계의 기업들은 인도 인재들의 덕을 보고 단단해져 가는데, 정작 인도 기업들은 그런 혜택을 전혀 누리고 있지 않다는 것이다. 아직도 보안 전문가들의 ‘윤리적 해킹 행위’를 신뢰하지 못하기 때문이다.

인도의 아난드 프라카시(Anand Prakash)라는 보안 전문가는 페이스북 등의 기업으로부터 총 3억 5천만 원의 상금을 받은 인물이지만, 인도 기업들로부터는 아무런 대가를 받지 못했다. “제가 페이스북 등에 제가 발견한 버그 정보를 보내면 답이 거의 즉각 날아옵니다. 그런데 인도 기업들은 거의 답이 없어요. 오히려 신고를 해버리겠다는 답이 오기도 하죠.”

또 다른 인도 보안 전문가인 사이나니(Sajnani)도 인도 기업 스무 곳 정도의 취약점을 발견해 통보한 전적이 있다. 그런데 대가를 받은 건 단 한 번 뿐이다. “어차피 대가만을 바라고 한 건 아니라, 돈을 못 받았다는 건 크게 문제가 되지 않습니다. 하지만 아무리 외쳐봐야 응답도 없고, 보안도 전혀 개선되지 않을 때는 마음이 많이 상하죠.”

하지만 고향 땅에서 저절로 자라난 이 자원들을 제대로 활용하지 못한 대가는 제법 컸다. 2015년 우버의 라이벌인 올라(Ola)는 반복적으로 해킹 공격에 시달리다 못해 결국 버그바운티를 실시해야만 했다. 세계 23개국에서 운영 중인 조마토(Zomato) 레스토랑 체인은 1천 7백만 명의 사용자 정보가 유출되는 일을 겪기도 했다. 조마토를 공격한 해커 엔클레이(nclay)는 “조마토가 보안 전문가들의 정직한 업적에 대한 보상을 제대로 하지 않는다면 해당 정보를 암시장에 팔겠다”고 협박했다.

보안 업체 핵리드(HackRead)의 창립자인 와카스 아미르(Waqas Amir)는 “조마토가 버그바운티를 직접 실시하지 않는다 하더라도, 최소 자발적인 취약점 보고를 해주는 보안 전문가들에게 적당한 보상을 했더라면 엔클레이가 그런 짓을 저지르는 대신 친절히 보완점을 알려줬을 것”이라고 꼬집었다.

이에 조마토 측은 “보다 건강한 버그바운티 프로그램을 실시할 예정”이라고 발표했으며, “보안 전문가들의 자발적인 보고에 신경 쓰지 못한 것을 애석하게 생각한다”고 말했다.

한편 인도 정부는 인구 대부분의 생체 정보를 보유하고 있다고 알려져 있으며, 안전한 데이터베이스에 보관되어 있다고 주장하고 있다. 하지만 ‘외부 보안 전문가’의 도움을 받아 안정성을 증명한 것은 아직 아니다. 따라서 생체 정보의 수집 자체에 대한 반대 여론이 없지 않은 가운데, 안전성을 증명하기 위한 버그바운티라도 실시해야 하지 않겠느냐는 주장이 일고 있다.

프라카시는 “미국 국방부처럼 핵 더 펜타곤(Hack the Pentagon)을 인도도 진행해야 한다”고 주장한다. “정부에서 대대적인 버그바운티를 시작하면 민간 기업도 자연히 그 흐름에 동참할 것입니다.”

세계적인 해킹 대회에서 우수한 성적을 거두는 한국의 보안 전문가들의 입장 역시 인도 보안 전문가들보다 나을 것이 없어 보인다. 아직 한국 업체들도 외부자의 취약점 보고에 대해 그다지 호의적이지 않기 때문이다. 인도 전문가들은 그나마 영어가 자유로운 편이라 해외 활동을 통해 수익을 만들어내고는 있지만, 한국 전문가들의 경우 이는 제한적인 경로다.

한국에서 버그바운티 플랫폼을 만들겠다는 계획으로 설립된 한국버그바운티(KBB)는 “버그를 보고한다는 게 ‘남의 잘못을 제3자가 밝힌다’는 개념인데다가 한국의 IT 바닥이 좁아서 쉽게 버그바운티 제도가 쉽게 활성화되지 않는다”고 설명한다. “버그바운티 제도라는 것에 대해 많은 사람들이 ‘좋은 제도’라고는 하지만 참여도는 매우 낮았습니다. 사업을 진행하기 어려울 정도였죠.” 실제로 한국버그바운티는 더 이상 버그바운티 플랫폼 사업을 진행하고 있지 않다.

버그바운티의 장점으로는 “고용 비용을 고정적으로 내지 않고도 보안 재능을 활용할 수 있어 효율성이 높다”라는 게 첫 손에 꼽힌다. 실제로 미국에서는 점점 정부기관에서도 활용될 정도로 그 가치가 증명된 바 있는 제도다. 또한 “해킹 실력을 가진 자들이 다크웹 등으로 빠지지 않도록 막아주는 역할을 한다”는 장점도 가지고 있다. 대신 나쁜 의도를 가진 자의 접근도 용이하게 해줄 수 있기 때문에 프로그램 운영이 쉽지만은 않다는 단점도 존재한다.
[국제부 문가용 기자(globoan@boannews.com)]

<저작권자: 보안뉴스(www.boannews.com) 무단전재-재배포금지>