버그바운티란?

안녕하세요. 오랜만에 새로운 포스팅입니다.

오늘은 버그바운티에 대해서 소개해 드리도록 하겠습니다.

 

1. 버그바운티란?

버그 바운티는 기업이 보유한 소프트웨어, 웹 사이트 또는 시스템의 취약성을 식별하고 보고하는 윤리적 해커 및 보안 연구자에게 제공하는 보상 프로그램을 의미합니다.

 

버그헌터로 불리는 버그바운티 참가자들은 기업 자산에 대한 보안상의 결함을 찾아내고 취약점 보고서를 제출합니다.

이를 통하여 버그헌터들은 금전적 보상(현상금), 스웨그 또는 기타 인센티브로 보상을 받습니다. 

버그 바운티 프로그램은 해커 커뮤니티의 집단적 전문 지식을 활용하여 조직의 보안을 개선하는 동시에 버그헌터가 자신의 기술을 선보이고 보상을 받을 수 있는 기회를 제공합니다.

 

해외에서는 이미 보편화된 서비스로 상당히 다양한 회사에서 프로그램을 운영하고 이를 통하여 보안성 향상을 꾀하고 있습니다. google, microsoft, apple 등 글로벌 기업에서는 자체 버그바운티를 운영하고 있으며 이외에도 많은 기업들이 해커원(HackerOne), 버그크라우드(BugCrowd) 등의 플랫폼을 이용하여 버그바운티를 운영하고 있습니다. 실제로 많은 버그헌터들이 버그바운티를 주업으로 하여 생활하고 있을 정도로 국내에 비해 광범위하게 운영되고 있습니다.

 

물론, 국내에서도 이런 국제 정세에 맞춰 일부 기업들이 버그바운티를 운영하고 있는데요. 대표적으로 삼성전자, 네이버등의 일부 대기업에서 자체적으로 버그바운티를 운영하고 있고 한국인터넷진흥원에서 취약점 신고포상제 제도를 운영하고있습니다. 또한 최근 몇 년 사이에 국내에서도 파인더갭(FINDtheGAP), 패치데이(PatchDay)등의 버그바운티 플랫폼이 등장하여 운영되고 있습니다. 보안 업게 종사자로서 참으로 반가운 소식입니다!

 

아무쪼록 버그바운티 산업이 커져서 많은 기업들이 기업의 자산을 보호하는데 버그바운티를 활용할 수 있게 되기를 바랍니다.

 

P.S.

저와 회사 동료들도 버그바운티를 통하여 소소하게 용돈벌이를 하고있습니다.

모두 소개해드릴 수는 없겠지만 앞으로 저와 동료들이 경험한 버그바운티 후기를 조금씩 작성해보려 합니다.

또한, 공개된 흥미로운 바운티들을 포스팅하려고 합니다.

 

그럼 빠른 시일 내에 다음 포스팅으로 인사드리도록 하겠습니다!