국방 버그바운티 제도 도입

1) 버그 바운티의 개념

버그 바운티는 버그바운티를 운용하는 주체가 보안 취약점을 보고한 인원에게 금전적으로 보상해 주는 것이다. 버그바운티 플랫폼 종류에 따라 [표 Ⅳ-3][37]과 같이 정의 할 수 있다.

[표 Ⅳ-3] 플랫폼에 따른 버그 바운티의 종류

2) 미국 DARPA의 Cyber ​​Grand Challenge 사례

미국 DARPA(방위고등연구계획국)에서는 오늘날 버그, 해킹 및 기타 사이버 감염 벡터를 찾고 대응하는 프로세스가 전문 버그 헌터 및 보안 전문가에 의해 수작 업으로 수백만 줄의 코드를 검색하여 숨은 의도를 가진 사용자가 이용할 수 있 는 취약점을 찾고 수정하며 엄청난 시간을 일하는 문제를 극복하기 위해 결함에 대해 추론하고 패치를 공식화하고 실시간으로 네트워크에 배포할 수 있는 자동 방어 시스템을 만들기 위한 경쟁인 Cyber ​​Grand Challenge(이하 CGC)를 세계 최 초로 2016년 8월 4일 개최했다.

세계 최고의 보안 연구원과 해커로 구성된 100개 이상의 팀으로 시작하여 DARPA는 최종 이벤트에서 7개 팀이 서로 경쟁했다. 대회 기간 동안 각 팀의 CRS^{(Cyber ​​}Reasoning System)는 소프트웨어 결함을 자동으로 식별하고 특수 제작된 에어갭 네트워크를 스캔하여 영향을 받는 호스트를 식별했다. 거의 12시간 동안 팀은 시스템이 호스트를 얼마나 효과적으로 보호하고, 네트워크에서 취약점을 검 색하고, 소프트웨어의 올바른 기능을 유지했는지에 따라 점수가 매겨졌다. 200만

달러, 100만 달러, 75만 달러의 상금이 상위 3명에게 수여되었다.

CGC는 지금까지 개발된 가장 정교한 자동화 버그 헌팅 시스템 간의 첫 번째 일대일 경쟁이었다. 이 기계는 이전에 분석된 적이 없는 맞춤형 소프트웨어에 숨 겨진 일련의 버그가 포함된 특별히 제작된 컴퓨터 테스트베드에서 Capture Flag 의 고전적인 사이버 보안 연습을 수행했다. 시스템은 해킹에 취약한 결함이 있는 코드를 평소 몇 개월이 아닌 몇 초 안에 찾아 패치해야 했으며, 상대방이 방어하 기 전에 약점을 찾아내야 했다[38].

사람의 개입 없이 취약점을 찾아 수정하는 1세대 자율 컴퓨터 보안 봇 중 하 나인 카네기멜런대의 Mayhem은 2016년 8월 DARPA 사이버 그랜드 챌린지에서 우승했다. DARPA의 사이버 그랜드 챌린지(CGC)는 사이버 보안의 최전선에서 새 로운 기술인 사이버 추론 시스템(Cyber Reasoning System, 이하 CRS)을 탐구했다.

CRS는 일련의 소프트웨어 서비스를 방어하는 완전한 책임을 지는 완전 자율 시 스템이다.

사이버 그랜드 챌린지에서 경쟁하는 CRS는 공격 트래픽을 차단하는 방화벽 규칙 자동 개발, 공격자보다 먼저 버그를 찾기 위한 프로그램 분석, 소스 코드에 대한 액세스 없이 컴파일된 프로그램의 취약점 패치를 포함하여 모든 핵심 사이 버 보안 영역에서 기술을 시연했습니다. 인간 분석가가 개발하고 테스트하는 데 수 많은 시간이 걸릴 수 있는 소프트웨어 방어를 수십 초 정도의 기계 속도로 배포되었다.

Mayhem은 인간 개발자나 보안 분석가와 다르게 소프트웨어 결함을 확인하고 패치한다. 서비스를 분석할 때 Mayhem은 서비스를 충돌시키거나 잠재적으로 악 용할 수 있는 동작을 나타내는 테스트 사례가 있는 경우에만 소프트웨어 결함을 확인한다[39].

ForAllSecure 회사에서 개발한 Mayhem은 2020. 5.11. DoD와 4,500만 달러의 계약을 체결하고 배포되고 있으며 여러 DoD 기관에서 사용 예정이다. 무기 시스 템 사이버 보안 결함 탐지를 위해 응용프로그램을 확인하는 Mayhem은 자동으 로 테스트 제품군을 구축하고, 고급 퍼징의 결합된 기술을 사용하여 코드 테스트 에서 자동화의 강력한 이점을 보여주고 있다[40].

이렇게 미군에서는 국방 영역에서 버그바운티 제도를 통해 기술적으로 확인된

제품을 발굴하고, 세계 최고 수준의 자동화된 무기시스템 보안 취약점 자동진단 툴을 도입하여 잠재되어 있는 지능형 사이버 공격에 대비하고 있다.

3) 무기체계 적용 방안

국방 무기체계에 대한 버그바운티에 대한 거부감은 상당할 것으로 판단된다.

하지만 DoD의 사례처럼 이제는 변화를 두려워 해서는 안된다. 부작용 또한 당연 히 있겠지만 이제는 기술의 고도화 발전 추세에 부합되도록 무기체계 분야의 보 안 취약점 해소를 위해 버그바운티 제도를 도입해야 할 것이다. 이를 위해서 기 밀성이 낮은 체계를 우선적으로 고려해 볼 수 있을 것이다.

DoD에서는 배경조사를 거쳐 검증된 해커들에게만 참가 자격을 부여했다. 발 견된 취약점으로 인해 중요한 업무가 마비될 것을 우려해 주요 핵심 시스템과 분리된 시스템을 대상으로 진행되었다. 이를 벤치마킹하여 우리 軍에서도 공개 가능한 무기체계를 선정하여 점검해야 할 것이다. 대표적으로 전장망의 경우 정 보시스템 기반으로 구축되어 있으며 실제 운용 데이터가 아닌 가상의 데이터를 사용하도록 한다면 실질적인 점검이 가능할 것이다.

효과적인 무기체계 보안을 위해서는 앞서 미국 GAO의 사례에서처럼 무기체 계 진단이 가능하도록 전문인력과 예산을 투입하여 공식적으로 대한민국 무기체 계에 대한 사이버 보안 취약점을 전면적으로 진단하고 국회 차원에서 확인 및 조치할 수 있도록 예산을 지원하고 각군의 무기체계에 대해 지속적인 확인과 감 독을 통해 선진 무기체계 보안 생태계를 구축해야 할 것이다. 이를 위한 별도의 외부 전문기관의 설립이 필요하다.

또한 일회성 버그바운티 행사를 하는 것이 아니라 매년 지속적으로 시행하여 軍 내부에서 확인하기 어려운 잠재적인 보안취약점을 식별하여 선제적으로 조치 하는 것이 필요하다.