지니언스가 버그바운티 운영을 통해 2년간 100여건의 취약점을 잡아냈다.
버그바운티 제도는 기업이 포상금을 걸고 보안 취약점을 신고받는 제도로, 지니언스는 제보자와 기업 모두 윈윈(Win-Win)하는 프로그램이기에 더 활성화하겠단 방침이다. 취약점 제보에 민감하게 대응하며 버그 바운티 제도 도입에 소극적인 국내 정보보호업계 분위기와 사뭇 다르다는 평가다.
지니언스는 지난 2022년 3월부터 지난해 말까지 약 2년간 버그바운티 운영을 통해 총 546건의 신고를 받았고 그중 105건(19.2%)의 취약점을 확인했다고 밝혔다. 지니언스는 신고된 신규 취약점을 분석해 신속하게 해결한 후 공격 위험도 등에 따라 홈페이지 등에 공지하고 고객사 패치를 진행한다.
버그바운티는 오류·오작동을 의미하는 버그(Bug)와 포상금을 뜻하는 바운티(Bounty)의 합성어다. 기업의 소프트웨어·정보기술(IT) 인프라를 해킹하고 보안 취약점을 최초로 신고한 제보자에게 포상금 등을 지급하는 크라우드소싱 기반 침투 테스트 프로그램이다. 지니언스는 국내 정보보호기업 최초로 버그 바운티 제도를 도입했으며, 2년간 약 4700여만원의 포상금 지급했다.
지니언스 버그바운티 제보 대상은 네트워크 접근제어 솔루션(NAC), 클라우드 고객 관리 서비스(CSM), 지니언스 장치 식별 관리 솔루션(GDPI), 홈페이지 등이다.
취약점 건수별로 살펴보면, CSM 취약점이 55건으로 가장 많았으며, 2026만원의 포상금을 사용했다. 이어 NAC(44건·2415만원), 기타(4건·202만원), 홈페이지(2건·62만원) 등이 뒤따랐다. GDPI 신고건 중에선 취약점은 없었다.
취약점 심각도를 보면 낮음 등급(80건)과 보통 등급(23건) 등 두 등급 비율이 약 98%로 대부분을 차지했으며, 심각 등급과 위험 등급이 각각 1건으로 평가됐다. 구체적으로 CSM는 낮음 46건, 보통 9건으로, NAC은 낮음 30건, 보통 12건, 심각 1건, 위험 1건으로 분류됐다.
지니언스에 취약점을 신고한 제보자는 87명으로 집계됐다. 이중 약 70%(58명)가 해외 제보자일 만큼 해외에서 큰 관심을 받고 있다. 가장 많이 신고한 국내외 제보자를 보면, 국내는 50건, 해외는 54건으로 조사됐다. 가장 많은 포상금을 가져간 국내 제보자는 약 237만원, 해외는 약 1550달러(약 212만원)였다.
지니언스는 버그바운티 프로그램이 제보자가 취약점을 찾는 과정에서 실력을 키우는 동시에 포상금을 벌 수 있고 기업은 취약점에 선제적으로 대응할 수 있는 등 일석삼조 이상의 효과를 내는 프로그램이라고 강조했다.
김성철 지니언스 연구기획실 상무는 “제보자 입장에선 보상과 관계없이 신고 과정에서 쌓인 지식과 능력은 자신만의 자산이 되기에 버그바운티를 시도해 볼 가치는 충분히 있다”며 “버그바운티 프로그램을 더욱더 확대시키기 위해 다양한 활동을 벌일 예정”이라고 말했다.
조재학 기자 2jh@etnews.com
