실시간 뉴스



확대되는 민간 '버그바운티' 시장…주도권 경쟁 '활활'


취약점 진단 수요 높아 버그바운티도 활발…삼성SDS·엔키·티오리·파스텔플래닛 등

[아이뉴스24 최은정 기자] 국내 IT 기업들이 확대되는 버그바운티 시장을 적극 공략한다. 최근 사이버 위협이 증가함에 따라 기업들의 보안 취약점 진단 수요가 늘고 있어서다. 버그바운티는 애플리케이션·소프트웨어 등의 보안 취약점을 신고하는 이에게 포상금을 주는 제도다.

기업의 앱, SW·솔루션 등의 업데이트(패치)가 잦은 상황에서 건별로 취약점을 찾을 수 있는 버그바운티가 주목받고 있는 것. 집단지성을 활용해 단기간 안에 다수 취약점을 찾을 수 있다는 장점도 있다.

13일 업계에 따르면 IT서비스 기업 삼성SDS를 비롯해 보안업체 엔키, 티오리, 파스텔플래닛 등이 버그바운티 시장 주도권 확보를 위한 경쟁에 돌입했다.

 [사진=아이뉴스24]
[사진=아이뉴스24]

전세계적으로 버그바운티 시장은 매해 커지고 있다. 시장조사 기관 올더리서치에 따르면, 글로벌 버그바운티 시장은 지난해 2억2천310만 달러(한화 약 2천491억원)에서 오는 2027년 54억6천550만 달러(약 6조1천22억원)를 기록할 것으로 예측된다. 이는 연평균 성장률(CAGR) 54.4%에 이르는 수치다.

버그바운티를 통한 국내 취약점 포상 건수도 매해 증가하는 추세다. 실제로 한국인터넷진흥원(KISA)에 신고된 취약점 중 포상금이 지급된 건수는 지난 2013년 89건에서 2019년 762건까지 늘어 매해 평균 43% 성장한 것으로 나타났다. 전체 포상금 액수도 2013년 1억685만원에서 2019년 3억710만원까지 올랐다.

다만, 국내는 시장 초기 단계여서 KISA·금융보안원 등 기관 중심으로 버그바운티가 실시되고 있는 상황이다. 향후 시장이 점차 성장함에 따라 버그바운티 운영 등 민간 주도 사업이 활성화할 것으로 업계는 보고 있다.

◆ 기업별 버그바운티 운영 전략은…플랫폼 이름도 제각각

삼성SDS는 버그바운티 플랫폼 '해킹존'을 올 하반기 이후 정식 서비스할 계획이다. 지난해 11월부터 이 플랫폼을 시범 운영해왔으며, 이를 통해 15개 버그바운티 프로그램을 진행했다. 이미 대외 업체 4개를 시범 서비스 고객사로 유치했다.

해킹존은 실제 서비스뿐 아니라 가상 환경에 마련된 서비스를 해킹할 수 있도록 지원한다. 보안 분석가들이 데스크톱 가상화(VDI)를 활용해 취약점을 제보하는 식이다. 고객은 버그바운티로 인해 실제 서비스가 영향 받을 우려를 하지 않아도 된다는 게 회사 측 설명이다.

이영호 해킹존 소사장은 "가상 환경 버그바운티는 가상 서비스를 해킹하기 때문에 보안 사고 위험과 제약 사항이 거의 없다"며 "보안 전문가들은 마음껏 해킹 실력을 발휘할 수 있고, 기업들은 보안 사고 위험 없이 버그바운티를 진행할 수 있다"고 강조했다.

 [사진=아이뉴스24]
[사진=아이뉴스24]

엔키는 다음달 버그바운티 플랫폼인 '버그캠프'를 정식 오픈한다. 이 플랫폼은 화이트해커와 기업 고객 간 원활한 협력에 주안점을 두고 설계됐다. 고객은 원하는 자사 SW·프로그램 등을 플랫폼에 직접 등록하고 포상금 액수도 정할 수 있다.

주요 타깃 고객은 보안 인력, 비용 등 관련 투자가 어려운 기업들로 잡았다. 제조 공장, 병원 등 중요 정보를 다루는 산업군도 대상이다. 회사는 추후 버그캠프를 보안 기술 교육까지 제공할 수 있도록 기능을 확장하겠다는 계획이다.

박세한 엔키 대표는 "크고 복잡해 보이는 보안 사고의 가장 근본적인 시작점에는 보안 취약점이 있다"며 "버그바운티를 통해 다양한 보안 문제를 해결하고 보안 취약점을 제거하길 바란다"고 말했다.

티오리의 경우 올 하반기 출시 예정인 '패치데이'를 통해 버그바운티를 적극 운영할 예정이다. 현재까지 블록체인과 IT 서비스 등 기업에서 패치데이 참여 의사를 밝혔다. 이외에도 회사가 보유한 기존 고객을 기반으로 버그바운티 프로그램을 확대하기로 했다.

회사는 또 패치데이에 등록된 프로젝트를 일정 주기를 두고 공개하는 방안을 고려 중이다. 프로젝트별 집중도를 높이기 위한 차원에서다. 향후에는 회사의 사이버 보안 교육 플랫폼 '드림핵'과 패치데이를 연계해 이론 공부부터 실습, 실제 보상까지 제공하는 환경을 마련하겠다는 포부다.

박세준 티오리 대표는 "버그바운티를 통해 더 안전한 디지털 환경을 구축할 수 있다는 것을 보여주겠다"며 "이를 기반으로 (버그바운티 참여에) 다소 위축돼 있는 기업들의 적극적인 참여를 독려할 계획"이라고 했다.

파스텔플래닛은 버그바운티 플랫폼 '제로웨일(zerowhale)'을 필두로 고객 확보에 속도를 내고 있다. 지난해 말부터 지란지교시큐리티, 모꼬지심 등 3개 고객사와 버그바운티 프로젝트를 진행하고 있다.

서비스형 소프트웨어(SaaS) 형태로 제공되는 제로웨일은 웹 상에서 보고서 작성부터 해커와의 커뮤니케이션까지 지원한다. 특정 프로젝트에 대해 댓글 형식으로 고객과 해커가 대화할 수 있다는 게 장점이다. 회사는 고객이 원할 시 수준 높은 고급 해커들만 버그바운티에 참여할 수 있도록 제한하고 있다.

박동수 파스텔플래닛 대표는 "국내 웹 환경에 적합한 플랫폼과 유수 해커들을 바탕으로 기업 고객이 편리하게 버그바운티를 실시할 수 있도록 돕겠다"며 "올해 안에 고객 10개 이상 확보할 것"이라고 목표를 밝혔다.

/최은정 기자(ejc@inews24.com)






alert

댓글 쓰기 제목 확대되는 민간 '버그바운티' 시장…주도권 경쟁 '활활'

댓글-

첫 번째 댓글을 작성해 보세요.

로딩중
포토뉴스