보안 취약점 정보 포털 오픈, 버그바운티 중요성 증가

https://m.boannews.com/html/detail.html?mtype=3&tab_type=6&idx=105627 

‘보안 취약점 정보 포털’ 오픈한다는데... 버그바운티가 더 중요해지는 이유

 

2022/3/24 부터 사이버보안 취약점 정보포털 서비스 개시

사이버보안 취약점 정보포털

-> 국가 차원에서 보안 취약점을 수집 및 관리하고 정보를 통해 이용자가 확인 및 개선할 수 있도록 하는 서비스

 

버그바운티(Bugbounty)

-> 보안 취약점을 발견해 신고할 경우 포상을 하는 보안 취약점 신고포상제

 

매년 신규 취약점 건수 증가, 취약점에 대응하는 가장 좋은 수단 가운데 하나 => 버그바운티

 

<버그바운티 프로그램의 장점>

• 보안 취약점 패치로 인해 보안 위협에 신속히 대응 가능
• 정보보호 비용 예산을 절감하는 동시에 소프트웨어 및 서비스 품질을 향상 가능
• 조직 내부적으로 보안 인력을 통해 점검하는 것과 비교해 심각도가 높은 취약점을 발견하는데 7배 이상 도움
• 지속적이고 다면적이며 테스터가 많이 참여할 수 있음

=> 버그바운티와 모의점검을 함께 시행하는 것이 가장 효율적인 방법

 

실제 운영 중인 서비스에서 동의 없이 취약점을 발굴하는 행위는 정보통신망법에 의거해 정보통신망 침입 행위로 간주

-> 웹 사이트 등 실제 운영 중인 서비스의 경우 사전에 대상과 시기를 정해 한시적으로 취약점 발굴을 허용하는 ‘핵 더 챌린지(Hack the Challenge)’로 운영되고 있음

 

개방형 보안 취약점 분석 플랫폼은 클라우드 형태의 서버를 제공해 분석 대상 소프트웨어 및 서비스를 사전 설치한 후 보안전문가에게 개방하는 형태로, 보안전문가는 취약점 분석 환경이 구성된 가상 환경(VDI)에 접근해 취약점 분석을 진행하는 방식을 도입해 참여 기관과 분야가 점차 확대되고 있음