공개된 버그바운티 프로그램인 ‘핵 더 DTS’ 통해 65개 취약점 발견
업체만이 아니라 정부 기관들에서의 버그바운티 활용 확산되고 있어

[보안뉴스 문가용 기자] 미국 국방부가 최근 실시한 버그바운티에 참가한 보안 전문가들이 65개의 보안 취약점들을 디펜스 트래블 시스템(Defense Travel System, DTS)에서 발견했다. DTS는 전 세계에 파견 나가 있는 국방부 근무자들이 사용하고 있는 애플리케이션이다.


버그바운티 플랫폼을 제공하는 해커원(HackerOne)에 의하면 국방부 버그바운티가 실시된 지 한 달도 되지 않아 DTS에서만 28개의 취약점들이 발견됐고, 그중 일부는 치명적인 위험도를 가졌다고 한다.

미국 국방부는 핵 더 펜타곤(Hack the Pentagon)이라는 버그바운티 프로그램을 운영하며 외부 전문가들의 도움으로 국방부 시스템을 강화시켜 나가고 있다. 그 일환으로 최근 핵 더 DTS(Hack the DTS)를 실시한 것인데, 이는 국방부가 실시한 다섯 번째 버그바운티 프로그램이다. 그 동안 버그바운티를 통해 국방부는 약 3600개의 취약점을 찾아 고쳤다.

핵 더 DTS 버그바운티 프로그램은 4월 1일부터 4월 29일까지 진행됐다. 총 19명의 보안 전문가들이 참여했으며 소셜 엔지니어링을 비롯한 각종 기법을 동원하여 DTS 시스템을 두드렸다. 여기에 참여할 수 있는 전문가들은 미국 시민권자나, 미국, 영국, 호주, 캐나다, 뉴질랜드에서 합법적으로 근무할 자격을 갖춘 자였다.

버그바운티가 개시하고 하루도 지나지 않아 발견된 취약점이 16개였다. 그리고 29일간 전문가들은 총 100개의 취약점들을 발견, 보고했다. 그 중 ‘취약점’으로 인정을 받은 것은 65개였다. 이 65개의 취약점들을 발견한 전문가들은 사안의 심각성에 따라 최대 5천 달러까지 상금을 받았고, 국방부는 총 78,650 달러를 상금으로 지출했다.

최근 버그바운티 전문 플랫폼을 활용한 버그바운티 활용이 늘어나고 있다. 보안 취약점을 합법적으로 찾아내고 이를 통해 수익도 올리고 사회 공헌도 하려는 세계 곳곳의 전문가들이 가지고 있던 목마름을 해결해주고 있다는 평을 받고 있다. 또한 기업들은 내부 전문가를 두는 것보다 훨씬 저렴하게 문제를 찾아낼 수 있다는 것을 깨닫기 시작했다.

해커원의 CEO 마텐 미코스(Marten Mickos)는 “업체들만이 아니라 정부 기관들도 버그바운티의 긍정적인 효과를 느끼기 시작했다”고 말한다. “2016년 핵 더 펜타곤이 시작됐을 때만 해도 굉장히 새로운 것이었습니다. 국방부가 버그바운티를 하다니, 도저히 상상할 수 없었죠. 가장 단단하고 비밀스러운 단체가 외부인들을 끌어들여 약점을 찾아달라고 하다니 말이죠.”

그의 말대로 버그바운티를 활용하는 기업들이 하나 둘 늘어나고 있는 것도 사실이다. “국토안보부도 작년 버그바운티를 실시했고요(핵 더 DHS, Hack the DHS), 그것도 굉장히 성공적으로 끝났다는 평이 있습니다.”

그 외에 싱가포르의 국방부와 유럽평의회, 핀란드의 세무부도 버그바운티를 실시한 바 있다.
[국제부 문가용 기자(globoan@boannews.com)]

Copyrighted 2015. UBM-Tech. 117153:0515BC
<저작권자: 보안뉴스(www.boannews.com) 무단전재-재배포금지>