보안취약점 신고포상제 군(軍) 운영방안
기자 : 관리자 날짜 : 2022-12-02 (금) 15:28




급증하는 보안 취약점 어떻게 대응할 것인가? 4차 산업혁명 시대를 맞이하여 다양한 IT 기기 가 등장하였고 소프트웨어는 PC뿐만 아니라 스 마트폰, IoT 기기, 스마트카 등 다양한 분야에서 활용되고 있다. 이와 더불어 소프트웨어 사용률 도 같이 증가함에 따라 대부분 침해사고는 소프 트웨어에 존재하는 보안 취약점을 악용하여 일 어나고 있다. 이에 침해사고를 예방하기 위해서 는 무엇보다 보안 취약점을 사전에 인식하고 조 치하는 것이 중요하다. 지속해서 증가하는 소프트웨어 보안 취약점 문 제를 근본적으로 해결하기 위해 2012년부터는 소프트웨어 개발 보안1) 제도를 도입, 단계적으로 의무화를 시행하는 등 소프트웨어 개발 보안을 위해 노력하고 있음에도 불구하고 일부를 제외한 대부분의 소프트웨어 개발 기업은 부족한 예산 과 인력, 촉박한 개발 기간, 보안 인식 부재 등으 로 인해 소프트웨어 개발 단계에서부터 보안 취 약점을 고려하지 못하고 있다. 또한, 개발 단계에 서 소프트웨어에 존재하는 취약점을 완벽하게 제 거되는 것은 아니므로 소프트웨어 배포 이후 단 1) 소프트웨어 개발 보안 : 시큐어 코딩(Secure Coding)이라 고도 불리며, 안전한 소프트웨어 개발을 위해 소스 코드 등 에 존재할 수 있는 잠재적인 보안 취약점을 제거하고, 보안 을 고려하여 기능을 설계 및 구현하는 등 소프트웨어 개발 과정에서 지켜야 할 일련의 보안 활동을 말한다. 계에서도 안전성을 검증하는 과정이 필요하다. 이에 한국인터넷진흥원(KISA)은 보안 취약점을 제거하기 위해 집단 지성을 활용하는 ‘보안 취약 점 신고포상제’를 2012년부터 운영해오고 있으 며, 법적 제한으로 인해 취약점 분석에 한계가 있 는 서비스에 대해서는 2018년부터 핵 더 챌린지 를 신고포상제의 일환으로 개최해오고 있다. 취약점에 대응하는 가장 좋은 수단, 버그바운티 프로그램(Bugbounty Program) 버그바운티 프로그램은 하드웨어, 소프트웨어, 웹서비스 등의 지정된 프로그램의 보안취약점을 찾아낸 사람에게 취약점의 파급력에 따라 포상금 을 지급하는 제도로써, 보안전문가는 개인 역량 및 인지도 상승, 포상금으로 인한 금전적 이득이 생기고 기업은 보안 취약점 패치, 보안 위협 대 응, 정보보호 비용 예산 절감, 소프트웨어 및 서 비스 품질 향상되는 효과를 가져오며, 조직 내부 보안 인력을 통해 점검하는 것 대비 심각도가 높 은 취약점을 발견하는데 7배 이상 도움이 된다. 보안 취약점을 발견하는 방법으로 버그바운티 와 모의점검으로 구분되며, 각각의 방법별로 장· 단점이 존재하기 때문에 버그바운티와 모의점검 을 함께 시행되는 것이 가장 효과적인 방법이다. 버그바운티의 장점은 ① 다양한 예산에 맞게 범위 대상을 바로 조정 가능, ② 24시간 지속적 으로 운영되므로 더 많은 취약점 발견 가능, ③ 초기 비용을 지급할 필요가 없이 기술적 증적자 료가 있는 보고만을 대상으로 보상, ④ 다양한 관점으로 보안 취약점 발견할 수 있고 단점은 ① 취약점을 보고한 뒤 패치 등의 과정은 책임지지 않음, ② 노출에 따른 저품질 보고서 등의 잠재 적 유입에 따른 취약점 검증 과정이 있다. 모의점검의 장점은 ① 체계적으로 다양한 테 스트 옵션을 사용하여 진행, ② 취약점 보고 그 이후 작업 및 관리까지 가능, ③ 팀별 전담 들을 통해 효율적으로 취약점 발견할 수 있고 단점은 정형화된 체크리스트 등을 통한 점검이 있다. 한국인터넷진흥원(KISA)의 버그바운티 프로그 램, 보안취약점 신고포상제 한국인터넷진흥원(KISA)에서 운영 중인 버그 바운티 프로그램인 보안 취약점 신고포상제는 국 내에서 사용 중인 소프트웨어를 대상으로 분기별 우수 취약점을 선정하여 평가 결과에 따라 최대 1,000만원의 포상금을 지급하는 제도이다. 국내외 거주하는 한국인은 참가할 수 있고 국내에서 사용 중인 ‘소프트웨어’ 대상 최신 버전에 영향을 줄 수 있는 보안취약점이 신고 대상이며, 웹 사이트 등 실 제 운영 중인 서비스의 경우 사전에 대상과 시기를 정하여 한시적으로 취약점 발굴을 허용하는 핵 더 챌린지로 운영하고 있다. 실제 운영 중인 서비스에 서 동의 없이 취약점을 발굴하는 행위는 정보통신 망법에 따라 정보통신망 침입 행위로 간주할 수 있 으므로 사전에 허가된 대상으로 한정하고 있다. 버그바운티를 운영하려면?? ①대상 범위(제품) 지정 : 버그바운티를 허용하 는 대상 범위 또는 제품을 선정한다. * 예) CCTV, 스마트 컨트롤러, 개발한 모든 소프트웨어 / 서비스(모바일 앱) 등 ②예산 계획 : 연간 포상금을 계획하여 신고자에 게 포상금 지급 프로세서를 구축 ③포상 기준 마련 : 취약점별로 포상 기준을 마련 * 예) XSS 취약점 : 5만원, 버퍼오버플로우 취 약점 : 50만원 ④입수체계 구축 : 취약점 신고받는 웹페이지를 제작 ⑤운영 시작 : 신고된 취약점 검증 / 평가 / 예산 지급을 진행할 역할 분담보안 취약점 신고포상제를 통해 신고된 신규 취 약점 현황은? 코로나19로 급속화된 디지털 대전환, 메타버 스(확장가상세계)·NTF(대체불가토큰)·AI 등 신 기술 등의 영향으로 매년 신규 CVE2) 건수는 증 가하고 있으며, 2021년 총 20,142건으로 전년 대비 약 10% 증가하였다. 한국인터넷진흥원(KISA)에서 발표한 자료3)에 의하면 취약점은 대상별로 크게 Application, Service로 나눌 수 있으며 Application4)과 Service5) 경계선상에 있으나 고유 특징을 가지 고 있는 모바일 및 IoT(PC를 제외한 하드웨어 친화적 IoT기기), ActiveX(브라우저 플러그인), CMS(웹빌더 소프트웨어)를 포함하여 분류하였 2) CVE(Common Vulnerabilities and Exposures) : 공개 적으로 알려진 컴퓨터 보안 결함 목록으로 CVE ID 번호가 할당된 보안 결함을 뜻한다. 3) 한국인터넷진흥원 기술문서(2021-02) 보안 취약점 신고포 상제를 통해 알아본 놓치기 쉬운 취약점 사례별 대응 방안 4) Application 취약점 : 문서편집, 멀티미디어, 보안·파일 전 송 솔루션 등의 소프트웨어 취약점들이접수되고 있으며, 주 로 프로그램에서 특정 파일 포맷을 처리하는 과정에서 발생 하는 취약점이다. 5) Service 취약점 : 실제 운영 중인 웹 사이트 등 서비스 취약점 다. 2018년과 2019년도에는 모바일 및 IoT 취약 점 비율이 높았던 반면, 2020년은 IoT 취약점이 감소하였고 Application과 Service 취약점이 높 은 비율을 차지하였다. 2020년 Application내에 서는 전년 대비 파일 전송·원격 협업 솔루션 대상 이 증가하였다. 이를 통해 IoT 보안 내재화가 높 아짐에 따라 모바일 및 IoT 취약점은 상대적으로 감소추세에 있으며, 비대면 업무처리가 늘어남에 따라 파일전송/업로드 보안 및 원격 협업 솔루션 이 증가하였음을 알 수 있다. 최근 3년간 공격 유 형별 통계는 크로스 사이트 스크립팅(XSS)6), 부 적절한 권한 검증7)으로 인한 파라미터8) 변조 공 격, SQL Injection9) 등과 같이 비교적 취약점 발 6) 크로스 사이트 스크립팅 취약점(Cross site scripting Vulnerability, XSS) : 게시물에 실행코드와 태그의 업로드 가 규제되지 않는 경우 이를 악용하여 열람한 타 사용자의 PC로부터 정보를 유출할 수 있는 보안 취약점 7) 부적절한 권한 검증 취약점은 웹 사이트에서 요청이 발생할 때 적절한 인증 과정이 없어 중요 정보를 타인이 열람, 수 정, 삭제 등을 할 수 있는 취약점 8) 파라미터(Parameter) : 소프트웨어나 시스템상의 작동에 영향을 미치며, 외부로부터 투입되는 데이터 9) SQL Injection : 공격자가 보안 취약점을 악용하여 임의의 SQL 문을 주입하여 실행할 경우 데이터베이스가 비정상적굴이 쉬운 웹 취약점의 비율이 높았다. 그 다음으 로는 입력 값 검증 미흡으로 인한 오버플로우 취 약점10), 명령어 삽입(Command Injection) 취약 점11)이 높은 비율을 차지하고 있다. 보안 취약점 신고포상제를 군에서 운영할 수 있 는 방안은? 신고포상제를 통해 입수되는 취약점들은 새로 운 방식의 공격 방법이나 취약점들보다는 이미 많이 알려지고 연구되는 취약점 유형이 대부분 이다. 그럼에도 유사한 취약점이 지속해서 신고 인 동작을 하도록 조작하는 공격 기법 10) 오버플로우 취약점 : 연속된 메모리 공간을 사용하는 프로 그램에서 할당된 메모리의 범위를 넘어선 위치에 자료를 읽거나 쓰려고 할 때 발생한다. 프로그램의 오동작을 유발 시키거나 악의적인 코드를 실행시킴으로써 공격자가 프로 그램을 통제할 수 있는 권한을 획득하게 한다. 11) 명령어 삽입(Command Injection) 취약점 : 적절한 검증 절 차를 거치지 않은 사용자 입력 값에 의해 의도하지 않은 시 스템 명령어가 실행되어 부적절하게 사용자 권한이 변경되 거나 시스템 동작 및 운영에 악영향을 미칠 수 있는 취약점 된다는 것은 아직 국내의 많은 소프트웨어들이 개발 시 보안에 대한 고려가 일부 미흡하다는 것 을 시사한다. 이는 개발자들은 프로그램의 정상 적인 의도에 초점을 맞춰 개발하지만, 공격자들 은 정상적인 의도 외에 허용되는 모든 경우의 수 에 집중하기 때문에 취약점이 없는 완벽한 프로 그램을 만들기는 사실상 불가능할 수 있다. 우리 軍도 보안 취약점 신고포상제를 도입하 여 선제적 사이버 위협에 대응이 필요하며, 이 를 구현하기 위해 보안 취약점 신고 포털 시스 템(가칭)을 구축하여 보안 취약점 신고포상제를 운영한다면 ① 군에서 운영 중인 각종 소프트웨 어들의 신규 보안 취약점을 자체 식별할 수 있 는 여건 조성, ② 신규 보안 취약점 식별을 통한 사이버분야 우수인력 획득 용이, ③ 보안 취약 점 신고 포상(상금, 표창 등)을 통한 사기 진작 및 근무 의욕 고취 등의 기대효과가 발생될 것 이라 생각한다.


   

 

본사 : 서울시 종로구 사직로 96파크뷰타워 208호 (사)21c안보전략연구원

인터넷신문등록번호 : 서울아 02284 / 발행인 : 박정하

정기간행물등록번호 :서울라10600 / 대표전화 : 02-6953-0041, 02-2278-5846
팩스 : 02-6953-0042 / 청소년보호책임자 : 박정하

군사저널소개 | 이용약관 | 개인정보취급방침 | 이메일무단수집거부 | 새소식

Copyright ⓒ군사저널. All rights reserved.