1. 버그헌팅 프로그램 종류
1) VDP(Vulnerability Disclosure Program)
VDP는 보안 취약점 공개 정책이며 외부 화이트 해커나 일반 사용자가 발견한 보안 취약점을 기업이나 기관에 안전하게 신고할 수 있도록 마련한 공식적인 절차이다. 버그바운티랑은 다르게 누구나 신고가 가능하고 포상금이 없다. 또한 취약점 공개 정책을 준수하며, 많은 사람들이 BBP(버그바운티 프로그램)과 헷갈리지만 정확히 보상 유무와 프로그램 운영목적에 있어서 차이점이 존재한다.
VDP는 윤리적 해커에게 보고를 위한 명확한 지침을 제공하기 위함이며, 선의의 목적으로 취약점을 찾기 때문에 법적 조치를 하지 않고 취약점 보고서를 제출할 수 있게한다.
2) BBP(Bug Bounty Program)
BBP는 버그바운티 프로그램이며, 화이트해커가 보안 취약점을 제보하면 포상금을 받는다. 많은 버그헌터들이 외부 플랫폼을 통해 활동하면서 수익도 창출한다. 주로 기업, 정부기관, 플랫폼에서 운영하고 있으며 기업이 BBP를 운영하는 이유는 다수의 보안 전문가의 점검 대상이 되면서 짧은 시간 안에 많은 취약점들을 발견할 수 있다. 또한 장기적으로 보안성과 기업의 이미지를 향상시킬 수 있다.
2. 버그바운티 프로그램 종류
1) Public
| 참여대상 | 보안 연구자, 해커, 학생, 일반인 등 누구나 참여 가능 |
| 범위 | 해당 기업이 운영하는 모든 제품 및 서비스 |
| 장점 | 누락된 보안 취약점 발견 및 기업의 보안 의식 강화 이미지 향상 |
※ Public은 버그헌팅에 참여하고 싶은 누구에게나 열려있고, 잠재적으로 가장 많은 취약점을 발견할 수 있다.
2) Private
| 참여대상 | 신뢰할 수 있는 인증된 전문가들만 초대하여 참여 |
| 범위 | 일반적으로 특정 제품이나 서비스를 대상 |
| 장점 | 신뢰도가 높은 전문가들로부터 직접 피드백 받으며 특정 제품 및 서비스에 집중적인 보안 강화 |
※ Private는 특정집단에 참가자만 참여하므로 대상 취약점에 대한 발견수는 줄지만 비교적 신뢰적 해커들이 참가해서 일반적으로 버그사이트(버그 바운티 플랫폼) 품질이 향상한다.
3) Invitation Only
| 참여대상 | 신뢰할 수 있는 인증된 전문가들만 초대하여 참여 |
| 범위 | 일반적으로 특정 제품이나 서비스를 대상 |
| 장점 | 신뢰도가 높은 전문가들로부터 직접 피드백을 받으며 고도로 민감하거나 중요한 제품 및 서비스에 집중적인 보안 강화 |
※ Invitation Only은 사전에 선택된 개인 또는 그룹에게만 공개되며, 앞에 두 프로그램보다 가장 높은 수준의 품질을 보장한다.
또한 Private 버그바운티와 다르게 외부에 버그바운티 진행 사실을 공개하지 않는다.
3. 버그헌팅 플랫폼의 종류
1) 자체 버그바운티
- Google: bughunters.google.com
- Apple: security.apple.com
- Naver: bugbounty.naver.com
2) 버그바운티 중계 플랫폼 이용
- Hackerone: hackerone.com ,해외 최대 규모의 버그바운티 플랫폼
- BugCrowd: bugcrowd.com , Hackerone과 비슷한 규모의 버그바운티 플랫폼
- Find The Gap: findthegap.co.kr , 국내 최대 규모의 버그바운티 플랫폼
- Zerodium : 보안 취약점 구매 및 판매 플랫폼, 고가의 보상금을 제공하기로 유명
- huntr : 오픈소스 버그바운티 플랫폼
- patchday : 티오리 버그바운티 플랫폼
- zerowhale : 파스텔 플래닛 버그바운티 플랫폼
- KISA : 국내 유일 공공 기관 버그바운티 플랫폼
✅ 모의해킹 vs 버그헌팅 차이점
모의해킹은 연단위로 진행하며 1년에 2회정도하고 소수로 취약점을 찾는다. 보안전문가들마다 관점과 시선이 다르기 때문에 취약점 분석을 하면 취약점의 종류가 다르게 나올때가 있으며 한사람의 관점으로 본다. 이러한 단점도 존재하지만 장점으로는 소수의 사람 즉, 인증된 보안전문가들이 찾기 때문에 안전하게 프로젝트가 진행된다. 또한 모의해킹은 보안 컨설팅 비용을 지불한다.
반면에 버그헌팅은 소수가 아닌 많은 사람들이 참여하며, 충분한 기간동안 취약점을 찾는다. 많은 사람들이 참여하기 때문에 다양한 관점으로 보안 취약점을 찾을 수 있다. 발견된 취약점에 따라서 그 취약점에 위험도에 따라서 보상을 제공 받는다. 다만 불특정 다수에게 취약점을 찾는 것을 허용하기 때문에 만약 블랙해커처럼 악의적인 사용자가 있을 수 있다. 즉, 보고가 아닌 나쁜 목적을 가질 수 있다라는 단점이 존재한다.
4. 윤리적 해킹
1) 윤리적 해킹이란?
윤리적 해킹은 합법적이고 윤리적인 방식을 통해 보안 취약점을 갖고 개선하는 과정을 의미하며 이를 수행하기 위해 윤리적 해커는 사전동의, 개인정보 존중, 최소한의 침해, 보고의 의무, 비밀유지, 법적 준수의 주요 원칙들을 준수해야 한다.
- 사전 동의 : 모든 해킹 활동은 해당 시스템의 소유자나 관리자로부터 명백한 허가를 받은 후에 이루어져야 한다.
- 개인정보 존중 : 윤리적 해커는 무분별하게 개인정보를 수집하거나 이용해서는 안된다.
- 최소한의 침해 : 윤리적 해킹은 시스템을 테스트하고 취약점을 찾아내는 것이 목표이며, 불필요한 피해를 입히는 행위는 원칙에 어긋난다.
- 보고의 의무 : 윤리적 해커는 취약점을 찾아내는 과정에서 알게 된 모든 정보를 외부에서 누설해서는 안된다.
- 법적 준수 : 윤리적 해킹은 해당 지역의 법률을 준수해야 한다.
✅ 윤리적 해커 vs 화이트 해커
🔐 윤리적 해커 (Ethical Hacker)
" 합법적으로 허가받아 시스템을 해킹하는 보안 전문가"
윤리적 해커는 시스템 소유자의 허가를 받아 침투 테스트를 수행하고, 보안 취약점을 사전에 발견하여 보완하는 보안전문가를 말한다. 주로 시스템 및 네트워크 침투 테스트, 보안 취약점 분석 및 리포트, 보안 강화 컨설팅, 기업 내부 보안 정책 수립 지원등의 업무를 맡고 있다.
👨💻 화이트 해커(White Hat Hacker)
" 윤리적이고 선한 목적을 가진 해커"
인터넷 시스템과 개인 컴퓨터시스템을 파괴하는 해커를 블랙해커라고 하고 화이트 해커는 이에 대비하여 쓰는 개념으로 선의의 해커이다. 이들은 보안 시스템의 취약점을 발견해 관리자에게 제보함으로써 블랙해커의 공격을 예방하며, 서버의 취약점을 찾아 보안 기술을 만드는 보안 전문가들을 말하기도 하지만 해킹 기술을 선의로 사용하는 사람 전체를 말한다.
참고
KISA 아카데미 실전사이버훈련 버그헌팅 실습훈련-초급과정
KISA 아카데미 실전사이버훈련 버그헌팅 실습훈련-중급과정
FIND the GAP 교안
'버그헌팅' 카테고리의 다른 글
| 애플리케이션 보안의 이해 (0) | 2025.10.01 |
|---|---|
| 향상된 타겟 정보 수집 (0) | 2025.09.29 |
| CVE 이해, 취약점 체이닝 (0) | 2025.09.27 |
| 인증,인가,입력 값 검증 등의 보안 메커니즘 이해 (0) | 2025.09.20 |
| 버그헌팅이란? (0) | 2025.09.11 |