미국 납세자들 등을 대상으로 한 버그바운티...다섯 번째
아직 상금과 관련된 세부 사항은 발표 예정...민관의 상부상조 기대

[보안뉴스 문가용 기자] 미국 국방부가 다섯 번째 버그바운티를 시작한다고 발표했다. 이번 프로그램은 4월 29일까지 진행되며 국방부 내부의 대규모 사업용 시스템에 주로 집중될 예정이다. 미국 국방부에 소속된 수백만 명들이 전 세계적으로 이 시스템을 사용하고 있다.


이번 버그바운티 프로그램을 이끄는 잭 메서(Jack Messer)는 “현재까지 국방부는 해커들과 함께 손을 잡고 중요한 시스템을 안전하게 보호하는 데에 있어 큰 성공을 거둬왔다”고 발표했다. “이번에도 전 세계에서 활동하고 있는 윤리적 해커들과 함께 작업을 할 수 있게 되어 기쁘고, 다양한 관점과 기술력을 가진 전문가들의 참여를 기대하고 있습니다.”

미국 국방부의 최신 버그바운티 프로그램에 참여하려면 미국 납세자이거나 영국, 캐나다, 호주, 뉴질랜드에서 공식적으로 월급을 받고 채용된 자여야 한다. 미국 정부나 군에 소속된 자 혹은 계약을 맺고 일하는 자 역시 이번 버그바운티에 참가가 가능하다. 다만 군 소속 혹은 계약자의 경우 취약점을 찾아도 금전적인 보상을 받지는 못한다.

아직 정확한 상금 관련 세부사항은 공개된 바가 없다.

미국 정부 기관 중 하나인 디지털 서비스국(Digital Service) 산하에 있는 디펜스 디지털 서비스(Defense Digital Service)의 총괄 레이나 스테일리(Reina Staley)는 “이번에 버그바운티 대상이 된 시스템은 수백만 명의 사람들이 사용하고 있는 것으로 단 한 번의 침해 사고도 치명적으로 작용할 수 있게 된다”고 설명한다.

“국방부가 실시하는 버그바운티 프로그램은 기관 외부에 있는 전문가들이 안전하고 합법적으로 국가 주요 기반 시설의 보안 문제를 점검함으로써 애국을 실천할 수 있는 기회가 되기도 합니다. 물론 나라사랑하는 마음에 금전적인 보상도 덧붙게 됩니다.”

미국 정부 기관들은 2016년 ‘핵 더 펜타곤’을 시작으로 버그바운티 제도를 활발하게 도입하고 있다. 핵 더 펜타곤 여태까지 3천개 이상의 취약점들을 보완하는 데 일조했다. 미국의 공군도 ‘핵 디 에어포스’라는 버그바운티를 시작해 207개의 보고서를 받았으며, 유효한 보고서를 작성한 해커에게 13만 달러를 보상했다. 공군은 이듬해에 두 번째 ‘핵 디 에어포스’를 실시하기도 했고 비슷한 성과를 거두었다.

버그바운티 플랫폼인 해커원(HackerOne)의 공동 창립자이자 CTO인 알렉스 라이스(Alex Rice)는 “보안에 성숙한 조직일수록 외부 전문가의 도움을 얻는 데 원활하다”고 설명한다. “미국 국방부도 버그바운티를 매해 진행하면서 보안의 혁신을 이뤄왔습니다. 이번 버그바운티 역시 그러한 작용을 할 것으로 예상합니다. 또한 보안 커뮤니티에도 충분한 보상이 이뤄질 것으로 기대합니다.”
[국제부 문가용 기자(globoan@boannews.com)]

<저작권자: 보안뉴스(www.boannews.com) 무단전재-재배포금지>