KEEP!T Today
안녕하세요! KEEP!T 입니다.
해외의 유익한 기사를 우리말로 전해드리는
수요일의 스낵뉴스 시작합니다.
버그 바운티 프로그램이란 무엇인가
[ETHNews] What’s In A Bug Bounty?
버그 바운티 프로그램(Bug Bounty Program)을 아시나요? 우리말로 하면 “버그 현상금 제도”정도로 해석하면 될 것 같습니다. 이 제도 소프트웨어나 웹 자산의 보안을 향상시키기 위해 블록체인을 포함한 다양한 테크 분야에서 사용되는 프로그램입니다. 오늘은 조금은 생소할 수도 있는 이 제도에 대해 이야기를 하도록 하겠습니다.
아군은 가까이, 적은 더 가까이!
위의 말과 유사하게도 소프트웨어 기업들과 사이버보안 전문가들은 이 프로그램을 통해 그들의 숙적, 해커들과 같은 편에 서게 됩니다. 정확히 말하자면, 버그 바운티 프로그램이란, 어느 한 단체가 그들 시스템의 취약점을 신고해주는 착한 해커들 (이 경우에 현상금 사냥꾼이 되겠죠)에게 현상금을 지급해주는 제도입니다. 버그들에 일종의 지명수배를 내리게 되는 시스템이죠.
버그 현상금 기업이자 사이버보안 업체인 해커원(HackerOne)의 작년 보고서에는 이러한 내용이 들어있습니다. “기업들은 해커들에게 연 최대 $90만에 달하는 현상금을 지급한다. 또한 중대한 취약점 신고에 대한 현상금은 2015년 이후로 16%나 증가했다.” 우리들에게 친숙한 기업들인 GM 모터스, 스타벅스, 닌텐도, 심지어는 미 국방부까지 해커들의 도움을 받아 그들의 보안을 향상시켰다고 합니다.
미국의 증권 및 암호화폐 서비스 업체인 로빈후드(Robinhood)는 그들의 현상금 프로그램을 통해서 최소 $100에서 최대 $5만까지 지급 받을 수 있다고 합니다. 그들은 꽤 이전부터 바운티 프로그램을 운영하고는 있었지만 최근에 와서 이런 발표를 했습니다.
”지금까지 우리는 어떤 종류의 신고를 기대하는지, 또한 그러한 신고들로 연구원(해커를 칭함)들이 어떻게 보상 받을 것인지에 대해 명확하게 밝히지 않았었다. 고로 우린 지금부터 특정 버그들에 대한 현상금 범위를 명시해 놓은 새로운 바운티 프로그램을 런칭한다. 우리는 로빈후드가 연구원들에게 구미가 당기는 타겟이 되길 기대하며 그들이 허비하는 소중한 시간을 낭비하지 않게끔 할 것이다.”
블록체인 세상에서의 현상금 사냥
블록체인 프로젝트들에서도 마찬가지로 이런 현상금 사냥 제도가 존재합니다. 전통적인 소프트웨어들과 동일하게 많은 블록체인 기반의 플랫폼들도 보안 위협에 노출되어 있는데요. 최근의 블록체인 프로젝트들은 서로의 개발 상황을 두고 경쟁하다 보니 이런 취약점들을 간과하거나 의도치 않게 그들 시스템에 흘려 보내는 경우가 많습니다.
이오스 네트워크를 책임지고 있는 블록원(Block.one)팀도 최근 이오스 네트워크의 치명적인 버그를 발견한 독일인 해커 귀도 브렁켄(Guido Vranken)에게 자체 현상금 정책에 따라 $12만에 달하는 보상을 지급했습니다. 이에 그치지 않고 블록원은 브렁켄에게 그들 팀에 합류할 것을 제안하기도 하는 등 감사의 표현을 아낌 없이 했다고 하네요.
해커원의 최고경영자인 마르텐 미코스(Marten Mickos)는 현상금 제도의 중요성에 대해 이렇게 역설합니다. “우리의 목표는 사생활을 보장하고 고객들을 지키는 것. 그리고 이것은 착한 해커들의 적극적인 참여 없이는 이루기 힘들 것이다.”
더 넓은 관점에서 보았을 때, 현상금 사냥을 통해 해커들에게 인센티브가 제공되는 구조는 블록체인 기술의 바탕이 되는 자유주의적인 정신과도 상당히 유사하다고 볼 수 있습니다. 이러한 구조 속에서 각 개인이 최선을 다해 버그 사냥을 하다 보면 이론상으로 우린 최고의 상품, 혹은 기술을 접할 수 있게 될 것입니다. 크립토 세계에 딱 맞는 제도가 아닐 수 없겠군요!
이상 오늘의 스낵과 같은 뉴스를 마칩니다.
좋은 하루 되시길-
Travis
이 저작물은 크리에이티브 커먼즈 저작자표시-비영리-변경금지 4.0 국제 라이선스에 따라 이용할 수 있습니다.