취약점 제보

취약점 제보는 특정 기업에서 제공하는 서비스와 제품을 해킹해서 취약점을 발견한 해커에게 포상금을 지급하는 제도이다.

BoB 지원에서 취약점 제보의 이력이 있다면 가산점이 주어지기 때문에 BoB 지원을 위해서는 취약점 제보 경험이 필수라고 생각이 된다.

나도 BoB 에 지원할 때 취약점 제보 이력이 한 번 있었다.

운영 중인 웹 서비스의 인증과 인가 처리에서 몇 개의 파라미터만 조작하면 되는 취약점이었는데, 그 떄 당시에는 내가 해킹존 이라는 플랫폼을 알지 못했기 때문에 Kisa 보호나라에 직접 제보를 하였다.

열심히 PoC를 썼고 꽤나 만족스러운 결과물을 정리하여 Kisa 에 제보를 한 뒤, 약 3개월이 지나고 결과가 나왔을 때는 운영중인 서비스 취약점 이라는 이유 때문에 취약점 제보 대상에서 제외되었다.

그 때의 경험이 사라지는 것은 아니였지만 피드백도 받지 못하고 취약점 제보 이력이 사라졌다는 것이 매우 허무했다.

하지만 해킹존은 조금 다르다.

해킹존의 특징

우선 해킹존 UI를 확인해보자

여기 아래에는 전체 프로그램에 보면 각각 기업들의 상품이 나와있다.

여기에 명시된 상품들에 한해서 마음껏 해킹을 시도할 수 있다.

다만 실제 서비스에 영향을 끼지는 것은 불가하고 PoC를 통해서 취약점을 증명하는 방법을 통해야 한다.

내가 취약점 제보를 위해 자료를 준비하다가 많이 접한 사례가 바로 기업에게 고소를 당했다는 사례이다.

취약점이 발생하기 위해서는 악의적인 행동을 취해야 하는데, 그 과정에서 불법적인 일이 일어났고, 기업은 그 일을 통해 개인에게 손해배상을 청구하는 경우이다.

이를 통해 본다면 기업은 자신의 상품이 누구인지 모를 사람에 의해서 분석되고 침투되는것을 꺼린다는 것을 알 수 있는데, 해킹존은 아예 처음부터 기업이 해커들에게 분석하고 침투해주세요! 라고 들어온 것이기 때문에 지정된 제약사항만 잘 준수한다면 고소를 당할 일은 없어보인다!

해커에게 해킹존은?

해커에게 해킹존은 아마 명예와 부를 쌓을 수 있는 공간이지 않을까 싶다.

합법적으로 마음껏 다양한 해킹을 시도해도 법률적으로 큰 문제가 되지 않으니 그야 말로 놀이터인 샘이다.

기업에게 해킹존은?

기업에게 해킹존은 집단 지성을 이용한 효율적인 취약점 진단이 가능하다는 것이다.

전문 기관이나 기업에게 취약점 진단을 보내는 것은 가장 확실한 방법일 수 있지만, 그에 따라 역시 만만치 않은 비용이 문제이다.

하지만 해킹존을 이용한다면 안전하고 검증된 평가기준을 통한 비용 산정이 있기 때문에 그에 따른 메리트가 있지 않나 싶다.

BoB 를 준비하는 학생에게 해킹존은?

BoB를 준비하는 학생에게 해킹존은 보안에 대한 관심을 보여주기 위한 큰 기회라고 생각한다.

사실 BoB 는 잘 하는 인재를 뽑고싶어 하지 않는다.

BoB는 잘 알다싶이 공통 교육, 전공 교육, 팀 프로젝트, 심화 교육 등 여러 사람과 함께 참여하는 프로그램이 많다.

하지만 여기서 열정이 없는 지원자가 있다면 차라리 아무것도 모르는 백지 상태의 학생을 선발하고 싶어 할 것이다.

해킹존에서 취약점 제보를 하는 경험을 통해서 보안에 대한 자신의 열정을 보여준다면 큰 매력이 있을것 같다.

물론 실제 취약점이 인정되어 포인트도 얻고 포상금도 얻으면 매우 좋겠지만?

저작자표시 동일조건 (새창열림)