버그바운티의 역사와 현재

안녕하세요, 파인더갭입니다! 이번에는 버그바운티에 대해 잘 알고 있는 분들도, 버그바운티를 새롭게 알아가시는 분들에게도 유용한 주제로 버그바운티의 역사와 현재​에 대해서 얘기해 보려 합니다.

이번 기회에 버그바운티가 어떻게 시작되었는지 알아보러 갈까요?🚗🚗

---

버그바운티의 등장, 1981년 ~ 1995년

버그바운티의 역사를 시작하려면 1981년까지 올라가야 해요🤩

당시 VRTX (Versatile Real-Time Executive) 라는 운영체제를 개발하던 Hunter & Ready가 처음으로 운영체제에서 버그를 찾아주면 Volkswagen Beetle 자동차를 포상으로 제공하겠다는 게 시작이었습니다. 버그 바운티라는 단어는 등장하지 않고 찾아주면 감사의 의미로 포상을 주는 프로그램이었죠.

그 이후 1995년 10월 Netscape 회사가 처음으로 'Bug Bounty'라는 개념을 등장시켰어요. Netscape Navigator 2.0 베타 소프트웨어를 대상으로 버그를 찾아주면 현금을 포상으로 주겠다고 공표했고 이러한 시도는 사이버보안 시장에 새로운 혁신을 가져왔습니다.

[Netscape 홈페이지] ​ 당시 Netscape의 부사장이었던 Matt Horner은 아래와 같이 말했어요.

"사용자가 빠르게 버그를 찾아내고 신고할 때 보상을 주는 이 프로그램은 Netscape Navigator 2.0을 더 광범위하고 개방적인 검토를 촉진하여 최상의 품질의 제품을 계속해서 만들 수 있도록 도와줄 것입니다."

Netscape의 버그바운티는 Netscape Navigator 2.0가 출시 될 때까지 계속 성공적으로 이어졌어요.

​

버그바운티의 사업의 발전, 2002년

그 후로 7년 뒤, 버그바운티 사업이 본격적으로 시작되었어요. 🥁🥁

2002년 8월 보안회사 iDefence가 Vulnerability Contributor Program을 발표했습니다. 정부 기관, 금융 기업, 사기업들이 중요한 정보 인프라를 전례 없는 사이버 공격으로부터 보호하고 싶어 시작된 프로그램으로 공격이 발생하기 전 사전 대책을 강구하여 피해를 막자는 필요에 의해 생겨났습니다.

iDefence는 윤리적 해커들이 신고된 취약점을 검증하고 익스플로잇 및 다른 악성코드의 행동을 분석하여 주어진 환경에서 새로운 소프트웨어, 하드웨어 취약성을 발견했습니다. 즉 iDefence는 소프트웨어 공급자와 보안 종사자들 간의 중간 역할을 했어요.

다양한 기업이 선보인 버그바운티, 2004년 - 2015년

2004년부터 기업 내에서 버그 바운티 프로그램이 중요한 역할을 넘어서게 되었습니다. 2004년에는 Mozilla가 버그바운티 프로그램을 시작했습니다. Mozilla의 대표 상품인 Firefox에 대한 취약점을 보고하면 최대 $500까지 보상을 받을 수 있었습니다.

​ [Google의 버그바운티 페이지]

2010년에는 구글이 웹 앱 전체에 걸친 버그바운티 프로그램을 시작합니다. 처음은 오픈소스인 Chromium project로 작게 시작했지만 성황리에 마무리된 이후 웹 어플리케이션 전반으로 확장했고 Mozilla도 이를 따라 버그바운티 대상 어플리케이션을 확장하기 시작했어요.

[Meta 버그바운티 페이지]

​

2011년에는 현 Meta 구 Facebook 또한 버그바운티 열풍에 가담했습니다. Facebook은 'Whitehat Program'을 시작했어요. 이 프로그램에서는 보상 지급에 대한 상한선이 설정되지 않았다고 해요.🫢 최소 $500을 받을 수 있고, 내가 찾은 취약점의 심각도에 따라 보상이 지급되었습니다.

​

2011년 3월에는 22살의 윤리적 해커가 찾은 단 하나의 취약점에 $15,000 (한화 약 2000만원) 을 지불했다고 하네요! 2011년부터 2015년까지 취약점을 찾은윤리적해커에게 도합 $430,000의 포상금을 지급했습니다.

​

이후로 2013년과 2015년에는 실리콘밸리에도 버그바운티의 열풍이 불어왔어요. 마이크로소프트, 깃허브, Etsy (엣시)가 대표로 모두 각자의 버그바운티 프로그램을 시작했어요. 2015년에는 Tesla와 United Airlines이 각자의 버그바운티 프로그램을 시작했고 기존 소프트웨어뿐만 아니라 하드웨어 공정에도 버그바운티가 중요하다는 사실을 보여줬어요. ​

오늘 날의 버그바운티

이러한 초석을 바탕으로 오늘날의 버그바운티는 어떻게 진화해 왔을까요?

스타트업, 대기업 상관없이 모두 사이버 공격으로 인한 피해를 최소화하고자 모두 참여하고 있습니다.

​

Microsoft는 $100,000를 포상금으로 주는 버그바운티 프로그램을 현재 운영하고 있어요. 마찬가지로 기업이 제공하는 포상금 금액도 엄청난 크기로 증가했습니다. 구글이 진행하고 있는 버그바운티 프로그램에서는 2010년에 비해 현재 5배나 더 증가한 포상금을 제공해 준다고 해요.

[Microsoft 버그바운티 프로그램]

​

오늘은 버그바운티의 역사와 현재에 대해 다뤄보았는데 어떠셨나요?

다양한 기업들 모두 버그바운티에 참여하여 모두가 안전한 서비스를 제공하기 위해 노력하고 있어요. 규모에 상관없이 보안은 누구에게나 중요하다는 사실!

​

보안은 중요하다고 알고 있지만 어떻게 강화 해야 할지 모르겠다면??

파인더갭을 방문해서 상담을 받을 수 있어요. 파인더갭은 언제나 한국을 넘어 전 세계에 올바른 보안 문화를 조성하기 위해 노력하고 있습니다.

​

앞으로 파인더갭이 함께 만들어갈 올바른 버그바운티 이야기! 다들 기대해 주세요~