"인도는 '버그바운티(bug bounty)' 참여 인구가 가장 많은 지역이다. 다른 개발도상국가에도 많을 거라 생각한다. 시큐어플래닛이 그들에게 기술을 쌓으면서 수익과 지명도까지 안겨 주는 '놀이터'가 되면 좋겠다. 유능한 해커가 많은 북한도 많이 참여해 주면 좋겠다. 그들의 재능을 나쁜 일에 쓰지 않고 돈과 명성을 보장받게 할 수 있을 테니까."
강태진 시큐어플래닛 대표가 오픈소스 소프트웨어(SW) 보안취약점 정보 공유를 촉진하는 블록체인 프로젝트 추진을 선언했다. 악성코드 유포처로 악명높은 북한을 포함, 세계 각지 해커의 참여를 기대한다는 언급이 눈길을 끈다. 그는 해커들이 상용 SW취약점을 찾아 제보하고 수익과 명성을 얻는 버그바운티에 참여하듯 오픈소스 SW취약점을 찾고 보상을 얻을 수 있는 탈중앙 선순환 생태계를 만들 계획이다.
시큐어플래닛은 동명의 블록체인 프로젝트를 진행하는 싱가포르 소재 비영리 법인이다. 그 블록체인은 현재 보상체계가 존재하지 않아 해커의 선의에 의존해야 하는 오픈소스SW 취약점 제보자에게 수익과 명성을 쌓을 수 있는 플랫폼으로 개발되고 있다. 프로젝트의 기술 개발과 파트너 영입은 앞서 강태진 대표가 설립한 SW보안취약점 분석도구 전문업체 '인사이너리'가 주축이 돼 진행하고 있다.
시큐어플래닛 프로젝트의 기업파트너로 인사이너리, 유럽 컨설팅업체 베어링포인트, IT업체 히타치솔루션즈, 블록체인 분야 액셀러레이터 오르카파트너스가 참여한다. 법률자문회사로 미국의 '오멜버니앤드마이어스'와 한국의 법무법인 태평양이 함께한다. 또 인사이너리와 오픈소스 보안 및 컴플라이언스 업체 비디에스케이(BDSK) 임직원들이 실제 프로젝트 멤버로 활동한다.
강 대표는 최근 시큐어플래닛 프로젝트를 소개하는 인터뷰 자리에서 "(블랙햇 해커와 화이트햇 해커는) 어찌 보면 종이 한 장 차이일 수 있는데, 많은 사람들이 지금 화이트햇 해커로 활동하고 있다"며 "그만큼 SW취약점 제보로 상금을 받는 버그바운티 시장이 성장하고 있는데, 시큐어플래닛은 취약점 제보에 따른 보상이 없던 오픈소스SW 분야에도 그런 선순환 생태계 역할을 할 것"이라고 말했다.
시큐어플래닛 멤버인 강태진 인사이너리 대표, 김택완 비디에스케이 대표(최고운영책임자), 그리고 블랙덕소프트웨어 부사장 출신인 마이크 피튼저(최고보안전략책임자)와의 인터뷰를 아래 1문1답으로 정리했다. 편의상 3명의 직책은 생략했다.
-시큐어플래닛의 파트너인 인사이너리는 어떤 회사인가
강태진: "인사이너리는 창업 2년된 스타트업이다. 올초 한국서 시리즈A 투자를, 8월 베어링포인트로부터 전략적 투자를 받았다. 베어링포인트는 유럽에서 지멘스, BWM, 도이치텔레콤 등에 오픈소스 컨설팅과 함께 인사이너리의 기술을 공급하는 역할도 해 왔는데 우리 가능성을 보고 투자도 결정했다. 우리 고객사는 파나소닉, 모션로프트, 미국소비자협회(ACI), 안랩, 한글과컴퓨터, 한국인터넷진흥원(KISA) 등이 있다.
오픈소스 취약점 분석툴 '클래리티'를 갖고 있다. 핑거프린트 기반 바이너리 코드 스캔이란 고유 기술로, 소스코드를 안 봐도 바이너리 파일 안에 어떤 오픈소스SW가 쓰였는지 찾아낸다. 사용된 오픈소스SW가 뭐고 어느 버전인지 파악해, 이미 확인된 취약점을 알려 준다. 취약점을 알려 주기 위해 미국 정부가 운영하거나 전문업체가 유료로 제공하는 오픈소스SW 취약점 데이터베이스(DB) 정보를 함께 활용한다."
-시큐어플래닛 프로젝트를 시작하게 된 계기는
강태진: "상업적인 SW의 보안은 취약점 정보를 제보하고 그 위험도에 따라 제보한 해커에게 금전적 보상과 명성을 안겨 주는 버그바운티를 통해 강화할 수 있다. 대형 IT업체는 직접 버그바운티를 운영할 수 있고, 에어비앤비나 우버같은 회사는 '해커원'이나 '버그크라우드'처럼 자체 해커 커뮤니티를 보유한 버그바운티 플랫폼 업체에 외주를 줘서 그 온라인서비스의 취약점을 해결하고 있다.
'물주' 없이는 돌아가지 않는다는 게 현존 버그바운티 운영 생태계의 문제다. 해커의 참여를 필요로하는 SW보안취약점 발견과 제보 분야에 이런 버그바운티 시장이 형성되다보니, 오픈소스SW 취약점 제보는 잘 안 된다. 보상이 없어서다. 대다수 오픈소스 프로젝트는 재정이 충분치 않다. 그래서 발견자에게 명성과 금전적 보상을 줄 수 있는 오픈소스 취약점 DB 개발 프로젝트를 시큐어플래닛이 제안했다."
김택완: "이 DB가 저절로 운영될 수만 있다면 누구든지 접근할 수 있는 세계 최대 오픈소스 취약점 DB 역할을 함으로써 오픈소스 프로젝트 보안 수준을 향상시킬 수 있을 것이다. 수백만 개발자들이 참여해 서로 경쟁적으로 취약점을 제보하면 좀 더 안전한 디지털 세계를 만들어 주지 않을까. 보안 업계 말마따나 취약점을 눈이 많아질수록 더 많이 볼 수 있을 테니까."
-이미 널리 활용되는 오픈소스 취약점DB가 있지 않나
마이크 피튼저: "오픈소스SW가 널리 쓰인다고 반드시 모든 취약점이 제때 발견돼 DB에 등록되는 게 아니다. 미국 정부가 운영하는 무료 DB는 취약점 정보가 늦게 업데이트되거나 누락된다. 마이크로소프트(MS), 구글, 애플같은 대형 IT기업은 고가의 상용 오픈소스 취약점DB를 쓴다. 그리고 이들은 취약점DB에 자사 제품에서 발생하는 취약점 정보를 직접 등록할 권한도 있다. 이런 단체나 기업은 100곳이 채 되지 않는다.
또 오픈소스 취약점조차 제때 조치되지 않는다. 지난해 미국 신용평가사 에퀴팩스의 개인정보 유출사고도 알려진 취약점 때문에 발생했다. 해킹 시도의 99.9%는 알려진 SW 버그나 보안 문제를 악용한 사례다. 현재 우리가 쓰는 애플리케이션의 코드 60~90%를 오픈소스가 차지하고, 사물인터넷(IoT) 기기는 평균 77% 가량의 오픈소스SW를 포함하고 있다. IoT 기기당 알려진 보안 문제는 677건에 달한다."
-꼭 블록체인 기반으로 할 필요가 있었을까
김택완: "오픈소스 취약점이 DB에 등재돼도 제보자가 보상을 받지 못한다. 수많은 오픈소스 단체가 비영리거나 커뮤니티 수준의 조직이라서 취약점 제보자에게 금전적 보상을 해 줄 만한 재정이 없다. 개발에 참여하는 것과는 별개로 보안전문가의 취약점 제보 참여가 적극적이지 않은 이유다. 연간 취약점이 2만개씩 발견되는데, 건당 500달러씩 지급한다고 가정하면 1천만달러가 필요하다. 감당할 회사가 있겠나.
블록체인 프로젝트의 이점 하나로, 최초 보상 지급 체계를 적은 돈으로 만들 수 있다. 예를 들어 1달러짜리 토큰을 지급하되 그 사용이 활발해짐으로써 그 가치 상승을 기대케 할 수 있다. 초기 취약점 발견 보상으로 10달러치 토큰을 받더라도 향후 1천, 1만달러 가치를 기대할 수 있다. 암호화폐가 현금 보상에 비해선 부족해 보이겠지만 당장은 현금조차 주는 곳이 없기 때문에 상대적으로 낫다."
강태진: "취약점 DB 운영주체를 완전히 신뢰할 수 없는 상황이다. 지난해 '워너크라이' 사태 이후 MS가 미국 국가안보국(NSA)을 공개 비판했다. 워너크라이가 악용한 윈도 취약점을 이미 알고도 제때 MS에 알리거나 정부 취약점 DB에 올리지 않았다면서. 그걸 첩보에 이용하려 했다는 의심을 샀다. 중국서도 최근 DB에 등록한 취약점을 6개월전 등록한 것처럼 첩보기관이 날짜를 조작한 흔적이 발견됐다.
오픈소스는 특정 나라 것이 아니라 인류 공동의 재산인데, 그 보안을 맡는 주체는 각자 이익을 위해 전세계엔 손해를 입힐 수도 있다는 증거였다. 이런 문제를 해결할 수 있는 방법도 인사이너리 단독으로는 해낼 수 없는 프로젝트라는 판단이 들었다. 여러 파트너가 감시하면서 재원을 갖춰 운영되려면 암호화폐 기반이어야 하고, 이걸로 이익을 얻게 될 이들이 재원을 마련하는 선순환 플랫폼이 필요했다."
-생태계가 어떤 식으로 작동하나
강태진: "블록체인으로 2가지 토큰을 발행한다. 하나는 암호화폐거래소에 상장해 현금으로 거래할 수 있는 'SPX' 토큰이고, 다른 하나는 취약점 제보 후 검수를 통과한 이들만 보유할 수 있는 'REP' 토큰이다. REP 토큰은 소지자의 평판 점수를 의미하고, 현금으로 거래할 수 없다. 해커가 오픈소스 취약점을 찾아 시큐어플래닛에 제보하면, 다른 해커들은 그 진위를 검증하고 투표를 통해 DB 등재 여부를 결정한다.
시큐어플래닛의 취약점 DB에 등재가 결정된 취약점을 제보한 사람에겐 SPX와 REP 토큰이 보상으로 제공된다. 타인이 제보한 취약점 검증에 참여할 사람은 일정량의 REP 토큰을 걸어야 한다. 그리고 이 취약점 DB의 정보를 이용하려면 SPX 토큰을 지불해야 한다. 정기적으로 취약점 DB 정보가 필요한 기업이라면 SPX 토큰을 대량 구매해 상시 지불하고, 작은 회사는 소량 구매해 일회성으로 쓸 수도 있을 거다.
이제까지는 취약점 제보자가 보상을 기대할 수 없을뿐아니라 완전히 신뢰할 수 없고 제보 인터페이스조차 불편했던 취약점DB 운영처의 대안이 없었는데 이 문제를 해결할 수 있게 된다. 또 기존 DB 운영 환경에선 제보자가 임의로 그 취약점의 심각도, 영향도를 판단하고 등급을 매기는 과정이 주먹구구식이었다면 시큐어플래닛 생태계에서는 검증 단계에서 8가지 객관적 기준을 바탕으로 점수를 매길 수 있다."
마이크 피튼저: "참여자들이 취약점을 제보하고, 취약점 정보를 우선 전달받아야 하는 오픈소스 프로젝트 쪽에 전달되게 하고, 해당 프로젝트와 생태계 참여자들이 함께 제보 내용을 검증하고, 취약점이 수정되게 하고, 보상을 가져가게 할 것이다. 취약점 문제를 피할 수 있는 정보도 함께 제공할 수 있도록 하고. 이런 과정을 스마트계약으로 자동화하고. 자체 블록체인 개발하는 것보다는 현존 메인넷을 쓸 생각이다."
강태진: "시큐어플래닛이 운영된다고 하루아침에 이 쪽으로 제보가 들어오진 않을 거다. 이 DB가 유용하려면 과거 20여년간 축적된 외부 데이터를 다 끌고 들어와야 한다. 초기에는 기존 운영되던 오픈소스 취약점DB 정보, 보안관련 게시판, 메일링리스트 등 흩어진 데이터 소스를 모으고, 정리하고, 등록하는 작업을 할 거다. 이를 위해 전문업체를 파트너로 영입할 계획이다.
또 수백만 오픈소스 프로젝트 중 실제로 많이 쓰이는 오픈소스의 취약점 제보건에 보상이 많이 이뤄져야 한다. 어떤 오픈소스가 실제로 많이 쓰이는지 깃허브같은 사이트의 프로젝트 활성도나 다운로드 수치로는 알 수 없지만 인사이너리는 공개된 바이너리, 펌웨어, 애플리케이션을 스캔해서 알 수 있다. 운영 초기에는 인사이너리 보유 정보를 활용하고, 이후 2~3년간 시큐어플래닛이 축적한 데이터를 활용할 거다.
해커는 어떤 오픈소스가 가장 많이 쓰이는지에 따라 차등적인 보상과 경쟁 수준을 기대할 수 있다. 최고 인기 프로젝트는 경쟁이 치열한만큼 높은 보상이 걸리고, 심하다 싶으면 차상위 프로젝트를 선택하는 식으로. 또 취약점 정보에 더해 '어느 버전을 쓰면 해결할 수 있다'거나, '어떤 함수를 호출하지 않으면 피해갈 수 있다', '방화벽 포트 몇 번을 바꿔 회피할 수 있다' 이런 해결방안 공유에 따른 보상도 줄 계획이다."
-토큰 상장 계획을 알고 싶다
강태진: "아직 세부 계획을 직접적으로 언급할 단계는 아니다. 다만 국내서 운영되고 있는 암호화폐거래소보다는 글로벌 투자자들이 접근할 수 있도록 '비트렉스'같은 글로벌 거래소와 우선 논의하고 있다. 현재는 프라이빗 라운드, 투자자 미팅 단계다. 메인넷 프로젝트 중에서도 투자하겠다는 곳이 있다. 거래소 상장은 프라이빗 라운드 이후 추진할 예정이다.
해커들이 버그바운티에 최대 규모로 참여하고 있는 지역이 인도인데, 다른 개발도상국에도 (잠재적 참여자가) 많을 거라 생각한다. 컴퓨터와 네트워크만 있으면 누구나 할 수 있으니까. 현금화를 위해 거래소 상장이 필요하지만, 참여자들은 암호화폐 쓰는 아이디어를 좋아할 거다. 지금은 아프리카 케냐에서 취약점 제보 보상으로 받은 100달러를 중 환전 수수료만 40달러 정도다. 암호화폐 보상은 이런 손실이 없다.
제 생각에는 북한에서 많이 참여해 줬으면 좋겠다. 훌륭한 해커들이 많은데 그 재능을 랜섬웨어같은 나쁜 일에 쓰기보다는…. 어떻게보면 버그바운티 시장이 커지는 이유가 블랙햇 해커가 돼 나쁜일을 할 수도 있었던 이들이 화이트햇 해커가 돼 기술을 쌓고 돈을 벌고 유명해질 기회를 얻어서 아닐까. 시큐어플래닛이 그런 이들의 놀이터가 됐으면 한다."
관련기사
- 시큐어플래닛, 탈중앙 오픈소스 보안취약점DB 만든다2018.10.10
- 한글WP 만든 강태진의 30년 삶을 들어보니…2018.10.10
- NDS, 파나소닉과 오픈소스 보안솔루션 사용 계약체결2018.10.10
- "한국 아파치 스트럿츠 취약점 관리상황 심각"2018.10.10
-프로젝트 진척도와 추진 일정은
강태진: "블록체인 기반 오픈소스 취약점DB 개발을 제안하고 기술 개발과 파트너 모집을 병행하는 단계다. 코드는 개념검증 수준으로 만들어져 있다. 첫 서비스는 내년 상반기중 나올 수 있을 거라 생각한다. 암호화폐 발행을 통한 자금조달(ICO)도 추진한다. 이를 위해 시큐어플래닛을 싱가포르에 비영리법인으로 설립했다. 국내서도 ICO가 명시적 불법은 아니지만 투자자들에게 리스크를 떠넘길 수는 없으니까."
