300명의 윤리적 해커, 3주짜리 프로그램에 참여

싱가포르 국방부(MINDEF)가 최고의 해커 기반 보안 플랫폼인 해커원(HackerOne)이 진행한 제1회 MINDEF 버그 바운티 챌린지 대회의 결과를 21일 발표했다.

300명의 윤리적 해커들이 국방부 웹사이트를 비롯한 국방부 시스템, NS 포털, 국방부 이메일에 침투하는 이 3주짜리 프로그램에 참여했다. MINDEF 버그 바운티 챌린지는 국방부 최초의 보안 이니셔티브이며 아시아 정부가 이런 종류로 주최한 프로그램으로도 최초였다.

해커들은 2018년 1월 15일부터 2월 4일까지 MINDEF의 보안팀이 이미 작업해오던 점진적인 작업을 보완하기 위해 취약점을 찾는 일을 하도록 초대받았다. 이 프로그램을 실시하는 3주 동안 MINDEF는 35개의 고유한 취약점을 보고 받았고 이 중 심각한 취약점은 없었다. 35개의 고유한 취약점들을 취약점 심각도를 기준으로 구분했을 때 23개는 저, 10개는 중, 1개는 고, 1개는 0이었다. MINDEF는 이 프로그램에 참여한 성공적이고 믿을 만한 해커 17명에게 총 1만4750달러의 상금을 수여했다. 미국, 싱가포르, 인도, 루마니아, 캐나다, 러시아, 스웨덴, 아일랜드, 이집트, 파키스탄을 비롯한 전세계 해커들이 이 프로그램에 참여했다. 가장 높은 상금 액수는 2000달러였다. 국방부는 해커들의 취약점 보고에 신속하게 대응했는데 평균 대응 시간은 5시간 이내였다.
 
해커원의 공동 설립자 겸 최고기술책임자 알렉스 라이스(Alex Rice)는 “MINDEF 버그 바운티 챌린지에 참여한 전세계 해커들을 보더라도 정부가 보다 안전하게 시스템을 운영하도록 돕고자 하는 마음이 해커들 사이에 압도적으로 크다는 것을 알 수 있다”며 “싱가포르 국방부는 보안에 대해 이처럼 진보적인 접근 방법을 초기에 수용한 몇 안 되는 정부 기관 중 하나이며 아시아 정부로는 최초다”고 밝혔다. 이어 “MINDEF의 프로그램은 정부 기관과 해커 커뮤니티 간의 협력이 앞으로도 이어질 수 있음을 보여준다”고 말했다.

범죄자들이 악용하기 전에 취약점을 찾기 위해 글로벌 해커 커뮤니티를 이용한 정부 기관으로는 MINDEF 외에도 미국 국방부(U.S. Department of Defense), 미국 공공시설청(U.S. General Service Administration), 유럽 연합 집행위원회(European Commission)가 있다. 구글플레이, 닌텐도, 제너럴 모터스, 스타벅스 같은 진보적인 회사들도 이런 버그 바운티 모델(보안 취약점 신고 포상제)을 채택했다.

싱가포르 국방부 차관보(특별 프로젝트) 겸 국방 사이버 국장 데이비드 코(David Koh)는 “빠르게 변화하는 사이버 보안 환경으로 인해 어떤 정부 기관도 혼자서는 보안 취약점을 확인하고 제거할 수 없다”며 “화이트햇(white hat) 해커들을 초대해 우리 시스템을 테스트하게 함으로써 MINDEF는 그 동안 발견하지 못했던 취약점들을 빠르게 찾아내 국방 시스템의 보안을 효과적으로 강화할 수 있었다”고 말했다. 이어 “이 프로그램의 성공으로 우리는 수주일 만에 사이버 보안 수준을 높일 수 있었다”고 덧붙였다.