• Korea Council of Chief Information Security Officers
      회원안내      

자료실

  • HOME
  • 자료실
  • 보안 제품정보

자료실

보안 제품정보

버그바운티 플랫폼 해커원, 2019년 해커 보고서 발표 2019.03.04

활성화되고 있는 버그바운티 제도...독학으로 배우는 해커들 늘어
1백만 달러 이상 차지한 해커가 최근에만 두 명...한 명은 19세 소년

[보안뉴스 문가용 기자] 버그바운티 플랫폼인 해커원(HackerOne)이 최근 자사 플랫폼에서 활동하는 보안 전문가 두 명이 각각 1백만 달러 이상의 상금을 획득했다고 발표했다. 물론 이 전문가들은 버그바운티 프로그램에 참여해 취약점들을 찾아내고 수정하는 데 도움을 준 대가로 큰 돈을 받은 것이다.

[이미지 = iclickart]


보안 전문가들이라고 해서 누구나 버그바운티를 통해 돈을 벌 수 있는 건 아니다. 취약점마다 중요도가 다르고 값어치가 다르며, 취약점을 찾는다고 해서 상대가 고마워할 확률도 높지 않기 때문이다. 그래도 취약점 찾기에 모든 시간을 투자하는 전문가들 중에는 이렇게 적잖은 성과를 올리는 사례도 종종 나온다.

이번에 소개된 인물 중 하나는 아르헨티나에 거주하는 산티아고 로페즈(Santiago Lopez)라는 19살 소년으로, 온라인에서는 트라이투핵(try_to_hack)이라는 이름을 사용한다. 독학으로 해킹을 익혔으며, 2015년부터 해커원에 등록해 활동하기 시작했다. 그리고 여태까지 1600개가 넘는 오류들을 보고했다. 트위터와 버라이즌 미디어에서 찾아낸 취약점들도 여기에 포하된다.

“로페즈는 ‘해커스’라는 영화를 보고 해킹을 공부해보고자 마음을 먹었다고 합니다. 그리고 무료 온라인 강좌들과 인터넷 블로그를 통해 하나 둘 해킹 기술을 익혀갔습니다. 16살이었던 2015년에는 해커원에 회원 가입을 했고, 그 해에 생애 첫 버그바운티 상금을 받았습니다. 50달러였습니다.”

로페즈가 ‘해킹을 시도 중(try_to_hack)’이라는 이름으로 활동을 한 건 해킹에 대한 학습을 끊이지 않겠다는 다짐을 잊지 않기 위해서다. 그래서인지 그는 성공할 수 있으리라는 확신이 없어도 해킹을 시도해보는 편이라고 한다. “결국 그 자신이 버그바운티 해커가 될 수 있었던 것도 ‘해킹을 시도했기 때문’입니다. 해커원에 모습을 드러내고 3년이 지난 지금까지도 이 이름값은 그대로 지켜지고 있습니다. 학생 때부터 벌써 상금을 40회 이상 탔고, 아르헨티나 소프트웨어 엔지니어의 평균 연봉과 같은 수익을 올리고 있지요.”

두 번째 1백만 달러 상금의 주인공은 마크 리치필드(Mark Litchfield)라는 인물로, mlitchfield라는 온라인 닉으로 활동한다. 현재까지 드롭박스(Dropbox), 옐프(Yelp) 벤모(Venmo), 스타벅스(Starbucks), 쇼피파이(Shopify), 록스타 게임즈(Rockstar Games) 등의 기업에서 약 900개의 취약점을 찾아내기도 했다.

해커원이 지난 금요일 발표한 ‘2019년 해커 보고서(2019 Hacker Report)’에 의하면, 현재 해커원에 등록해 활동하는 보안 전문가 및 화이트 해커들은 30만 명이 넘고, 이들은 현재까지 총 10만 개 이상의 취약점들을 제출하고 4200만 달러를 상금으로 획득했다고 한다.

그 중 2018년 동안 이 사냥꾼들이 획득한 상금은 1900만 달러다. 버그바운티 프로그램에 참여한 전문가들 중 51%는 인도, 미국, 러시아, 파키스탄, 영국 출신이었다. 해커원은 “최근부터 아프리카 국가 출신의 젊은 해커들의 참여도가 빠르게 올라가고 있다”고 덧붙이기도 했다.

가장 큰 상금을 제시한 건 주로 미국과 캐나다의 단체들이었고, 그 다음으로 영국, 독일, 러시아, 싱가포르가 뒤를 이었다.

연령별로 봤을 때 해커들의 대다수는 35세 미만이었다. 47%가 18~24세 사이로 가장 비중이 높았다. 독학으로 해킹을 배웠다는 이는 81%이고, 웹사이트 해킹을 전문으로 하는 이들이 70%였다. API를 전문으로 하는 해커가 6.8%로 2위를 차지했고, 데이터 저장 시스템 해킹을 주력으로 삼고 있는 해커는 3.7%였다.

3줄 요약
1. 해커원 버그바운티 플랫폼에서 최근 두 명이 1백만 달러 이상의 상금을 차지함.
2. 한 명은 19세 청소년으로, 독학해서 해킹 배움. 16세부터 활동 시작.
3. 다른 한 명은 굵직한 기업들에서 취약점을 다수 찾아낸 이력이 있는 전문가.
[국제부 문가용 기자(globoan@boannews.com)]

<저작권자: 보안뉴스(www.boannews.com) 무단전재-재배포금지>