커머스의 새로운 기준, 라포랩스

안녕하세요, 파인더갭입니다.

오늘은 파인더갭 버그바운티 서비스를 이용한 [라포랩스] 기업의 인터뷰에 대해 알아보겠습니다.

*

출처ㅣ라포랩스 홈페이지 https://www.rapportlabs.kr

💚 [한마디 요약]

마치 보안 담당자가 한 명 더 있다는 느낌을 받아서 귀찮은 일들을 굉장히 많이 줄일 수 있었던 점이 좋았습니다. ​

​

Q. 간단한 자기 소개와 하고 계신 업무 소개 부탁드립니다.

​ A. 안녕하세요. 저는 라포랩스에서 1인 보안 담당자를 맡고 있는 공지훈입니다.

라포랩스는 퀸잇이라는 MAU 2백만 이상의 엑스 세대의 전용 이커머스 플랫폼을 운영하고 있습니다.

​

Q. 버그바운티 서비스를 도입하시기 이전에도 버그바운티 서비스를 알고 계셨을까요?

​

A. 네. 버그바운티의 개념은 예전부터 알고 있었는데요. 빅테크나 대기업 같은 환경이 아니고 저와 같은 스타트업 에 재직 하는 입장에서 버그바운티는 그저 '하면 좋지만 할 수 없는 것'이라고 생각을 하고 있었습니다.

​

Q. 버그바운티 서비스를 도입해서 어떤 문제를 해결하고자 하셨나요?

​

A. 버그바운티를 활용하게 된 가장 큰 이유이자 목적은 퀸잇 서비스에 존재하는 취약점을 가시화 하고 이를 조치하는 것이었습니다. 스타트업의 특성상 기능 개발이나 변경이 매우 잦은데, 연 1회의 취약점 점검으로는 취약점들을 실효성 있게 관리하기가 매우 어려웠고, 자체적으로 관리하기에도 보안 담당자의 리소스가 부족한 상황이었습니다. 따라서 이러한 리스크를 해결하기 위해서 파인더갭의 서비스를 이용하게 되었습니다.

​

Q. 파인더갭 버그바운티를 이용해 보시고 얻게 된 성과나 이점은 무엇인가요?

A. 네, 아무래도 가장 큰 성과는 자체적인 취약점 점검과 외부 취약점 점검을 통해서 확인하지 못했었던 신규 취약점들을 발견했다라는 것인데요.

버그바운티의 특성상 굉장히 많은 다수의 화이트 해커가 다양한 방식으로 공격에 성공하게 됩니다. 따라서 이렇게 새로운 취약점들을 확인할 수 있었던 것이 가장 큰 효과였고요, 기존에 알고 있었던 취약점들에 대해서도 화이트 해커 분들이 공격에 성공하고 나서 POC라던지 관련된 리포트를 제출해 주셨는데, 엔지니어분들과 취약점 조치에 대한 필요성과 방향성에 대해서 이야기할 때 이러한 자료들을 굉장히 유용하게 활용할 수 있었습니다.

사실 대부분의 정보보호담당자는 버그바운티의 중요성과 필요성에 대해서 이미 알고 있을 거라고 생각합니다. 그럼에도 불구하고 버그바운티를 하지 못하는 이유는 리소스의 부족 때문이라고 생각이 됩니다. 그런 측면에서 버그바운티 플랫폼을 활용하면서 좋았었던 점들이 있는데요.

그중에 하나는 화이트 해커들에게 버그바운티 전용 창구를 열어서 공지 사항을 전달하거나 문의를 받는 등 이러한 귀찮은 것들을 대신해 주는 점이 가장 좋았고요.

​

그다음으로는 일차적으로 취약점들에 대해서 검토를 해주시고 또 버그바운티가 완료된 이후에 그것들에 대해서도 또 최종적으로 검토를 해 주시고 취약점에 대한 조치 방안을 가이드 해주는 부분도 좋았습니다.

마치 보안 담당자가 한 명 더 있다는 느낌을 받아서 귀찮은 일들을 굉장히 많이 줄일 수 있었던 점이 좋았습니다.

​

Q. 버그바운티 빠르게 도입하실 수 있었던 이유가 무엇인가요?

​

A. 네, 아무래도 저희 같은 경우에는 내년에 ISMS 취득을 준비하고 있고 그 과정에서 취약점 점검을 꾸준히 받고 있었습니다. 그런 과정에서 상대적으로 외부 전문 업체를 활용하는 것에 비해서 ‘저렴한 비용에 효과적으로 취약점을 발견할 수 있다’라는 확신이 들어서 조금 빠르게 서비스를 이용하게 되었습니다.

​

Q. 불특정 다수의 해커들이 시스템을 해킹한다는 부분이 걱정되시진 않으셨나요?

​

A. 우려스러운 점은 물론 있었는데요. 다만 그러한 것들을 해소하기 위해서 프로덕션 환경이 아니라 스테이지 환경에서 버그바운티를 수행했었고 또 별도로 앱 같은 경우에도 버그바운티 전용 빌드를 새로 만들어서 배포했었기 때문에 서비스에 영향을 미친다 하거나 하는 우려는 완전히 해소가 된 상태에서 진행을 했습니다.

​

Q. 제보된 취약점들을 조치하는 데 있어 애로사항들은 없으셨나요?

​

A. 애로사항은 어쩔 수 없이 있었는데요. 그럼에도 불구하고 좀 시급한 취약점들이 발견된 건들이 있어서 그런 것들은 버그바운티가 종료되기 이전에 미리 조치가 된 건들이 있었고, 버그바운티 종료 이후에도 굉장히 많은 여러 가지의 취약점들이 있어서 그것들을 정리해서 필요성에 대해서 이야기하고 이런 식으로 실제로 해킹이나 권한 탈취가 가능하다는 것들을 설명을 드렸더니 평소보다는 수월하게 조치가 가능하게 이야기가 되었던 것 같습니다.

*

이상으로 파인더갭의 버그바운티 서비스를 이용한 [라포랩스] 기업의 인터뷰 영상이었습니다. ​

💚 우리 회사도 버그바운티 도입이 가능한지 궁금하시다면 💚

파인더갭에 상담을 요청해보세요 :)