국방부 네트워크로 침투하게 도와주는 취약점 발견...10650 달러 지급
미국 국방 관련 기관 내 버그바운티 칭송 자자...“가격 효율 높다”

[보안뉴스 문가용 기자] 12월 9일 해커원(HackerOne)이라는 플랫폼을 통해 공식 시작된 ‘핵 디 에어포스 2.0(Hack the Air Force 2.0)’ 버그바운티를 통해 치명적인 취약점이 발견됐다. 공군 웹사이트를 통해 미국 국방부 네트워크로 침입하는 걸 가능하게 해주는 취약점으로, 실제 익스플로잇 여부는 아직 밝혀지지 않았다.


이 취약점을 발견하고 직접 시연한 보안 전문가는 2인조로 마티아스 카를손(Mathias Karlsson)과 브렛 부어하우스(Brett Buerhaus)다. 이 취약점 하나로 이 둘은 10650 달러를 받았다. 이는 미국 정부 기관이 진행한 버그바운티 프로그램에서 단일 취약점 하나에 부여된 가장 큰 금액이다. 그밖에 7명의 공군과 25명의 민간인이 이 버그바운티 프로그램에 참여해 여태까지 총 55개의 취약점을 발견했고, 공군은 총 26883 달러를 지급했다.

핵 디 에어포스 2.0은 내년 1월 1일까지 진행될 예정이다. 이른 바 파이브아이즈(Five Eyes)라고 하는 다섯 개 국가(호주, 캐나다, 뉴질랜드, 영국, 미국)의 영주권자이거나 시민이라야 참가가 가능하다. NATO 동맹국과 스웨덴의 영주권좌나 시민도 참가할 수 있다. 물론 참가 신청이 접수되어야만 한다. 그래서 현재까지 31개 국가에서 참여자들의 참가신청과 보고서가 날아들었다. 미국 군대에 소속된 자들도 참여할 수 있으나 상금은 받을 수 없다.

미국 공군의 CISO인 피터 킴(Peter Kim)은 “버그바운티 프로그램을 진행함으로써 우리가 미처 다 파악하거나 확보하지 못했던 인재들의 참여를 유도하고 실질적인 도움을 받을 수 있었다”고 발표했다. 공군은 이전 버그바운티를 통해 약 200개의 취약점을 발견하고 수정할 수 있었으며, 당시 상금으로 나간 총 금액은 13만 달러였다. 공군 측은 버그바운티의 가격 효율성을 극찬한 바 있다.

미국에서는 정부 기관의 버그바운티 활용이 점점 확대되어 가는 분위기다. 국방부는 ‘핵 더 펜타곤(Hack the Pentagon)’을 실시해 7만 5천 달러를 보안 전문가들에게 지급했으며, 육군은 ‘핵 디 아미(Hack the Army)’를 실시해 10만 달러를 지출했다. 그렇게 해서 미국 국방과 관련된 연방 기관이 버그바운티 상금으로 지급한 금액은 총 30만 달러에 육박하지만, 찾아낸 오류들은 3천개가 넘어 오히려 돈을 아꼈다는 반응이다.

미국 영주권이나 시민권을 가지고 있고, 취약점을 찾아내는 기술도 보유하고 있다면 미국 국방부가 1년 전에 발표한 취약점 공개 정책(Vulnerability Disclosure Policy)을 참조해, 절차와 방법에 따라 취약점을 점검하고 국방부 측에 알리는 것을 권장한다. 이 정책에 대한 상세한 내용은 해커원 플랫폼에 공유되어 있다(https://hackerone.com/deptofdefense).
[국제부 문가용 기자(globoan@boannews.com)]

<저작권자: 보안뉴스(www.boannews.com) 무단전재-재배포금지>