안녕하세요. 파인더갭입니다.
오늘은 버그바운티와 모의해킹의 차이점을 알아보려 합니다.
버그바운티란?
버그바운티란 ‘취약점 보상 제도(VRP-Vulnerability Reward Program)’를 뜻합니다.
기업은 버그바운티 운영을 통해 다양한 해커로부터 취약점을 제보 받고 보상함으로써 효율적인 비용으로 취약점 점검을 받을 수 있습니다.
모의해킹이란?
모의해킹은 말 그대로 모의로 자사의 서비스를 해킹해보는 것을 의미합니다.
자사 보안 담당자 혹은 보안 전문 업체에 의뢰하여 프로젝트 형식으로 대게 진행됩니다.
그럼 버그바운티와 모의해킹의 각각의 장/단점을 알아보도록 하겠습니다.
버그바운티의 장점
기업의 예산과 상황에 맞게 유연하게 가격을 책정하여 운영할 수 있습니다.
모의해킹과 비교하면 상대적으로 저렴합니다.
넓은 Pool의 해커를 확보할 수 있습니다.
지속적으로 테스트가 가능하며 상황에 맞게 중단, 재개가 가능합니다.
모의해킹의 장점
내부 시스템의 테스트 진행이 상대적으로 용이한 만큼 내부 및 외부 시스템의 연계된 테스트 또한 진행하기 좋습니다.
사람이 직접 투입되어 수행하는 만큼 커뮤니케이션의 장점이 있습니다.
모의 해커가 사전 정보 수집을 할 수 있는 환경 여건이 가능합니다.
장점을 알아보았으니, 단점에 대해서도 알아봐야겠죠?
버그바운티의 단점
해커들의 관리가 편하지는 않습니다.
해커의 Pool이 넓지만 그만큼 내 서비스에 맞지 않는 해커도 다수 존재합니다.
다량의 제보가 이어지는 만큼 취약점의 유효성 검증이 중요하게 됩니다.
모의해킹의 단점
한정된 인원이 투입된 만큼 해당 인원의 인사이트에 의존해야 합니다.
버그바운티에 비해 비용이 많이 듭니다.
프로젝트 기간 동안에 성과가 없어도 큰 비용이 지출됩니다.
한정된 기간에만 테스트가 가능합니다.
이렇게 버그바운티와 모의해킹의 장/단점을 알아보았는데요.
저희는 파인더갭은 버그바운티를 운영하는 전문 기업으로써
버그바운티의 장점뿐이 아닌 단점 또한 극복하려 노력하고 있습니다.
그럼 파인더갭의 버그바운티에 대해 알아볼까요?
파인더갭 버그바운티의 장점은
FTG Managed
취약점의 유효성 판별, 적절한 포상금 제시
서비스 테스트에 적절한 기술 스택의 윤리적 해커 선별 및 투입
투입된 윤리적 해커들과의 소통
Integration Service
리포트 상태 변화에 따른 알람 서비스
리포트 관리에 용이한 3rd party 연동
Monitoring Service
윤리적 해커의 공격 패턴 및 활동 이력을 볼 수 있는 모니터링 서비스
많은 장점을 가진 파인더갭만의 버그바운티 서비스! 회사의 안전을 지키는 보안 전문가가 필요하신가요? 아니면, 우리 회사도 버그바운티 도입이 가능한지 궁금하신가요? 파인더갭에 문의해주세요 💚
