[데뷰 2018] 네이버, 내년 초 자체 버그바운티 운영...주요 서비스 보안↑

2018.10.11 15:45:11 / 홍하나 hhn0626@ddaily.co.kr

관련기사
[데뷰 2018] “실내외 길찾기, 네이버랩스 기술 쓰세요”
[데뷰 2018] 네이버 “모바일 지도 API, 무제한 무료”

블로그·카페·네이버페이·주소록 등 포함될 예정

[디지털데일리 홍하나기자] 네이버는 보안 취약점 신고포상제인 버그바운티를 내년 초부터 자체적으로 운영할 계획이다. 사용자가 많은 주요 서비스의 보안을 강화하기 위한 전략이다.

버그바운티(Bug bounty)란 기업의 서비스나 제품을 해킹해 취약점을 발견한 화이트해커에게 포상금을 지급하는 제도다. 이를 통해 기업들은 빠르게 보안 패치를 적용할 수 있다. 현재 구글, 페이스북, 마이크로소프트(MS) 등 글로벌 기업이 시행중이다. 국내에서도 시행하고 있으나 자체적으로 하는 곳은 아직까지 없다.

11일 네이버는 데뷰2018 컨퍼런스를 통해 2019년 초 자체 운영하는 버그바운티 웹사이트를 오픈할 예정이라고 밝혔다. 버그바운티 범위는 블로그, 카페, 네이버페이, 주소록 등 개인정보가 포함된 주요 서비스를 대상으로 제한할 계획이다.

현재 네이버는 버그바운티 웹페이지를 제작중이다. 오픈 후 보상금액은 현 수준을 유지하나 점차 금액을 높일 예정이다.

네이버 서비스의 버그바운티는 한국인터넷진흥원(KISA)과 함께 하고 있다. 공동 운영사로는 한글과컴퓨터, 카카오, 이스트시큐리티, 이니텍, 잉카인터넷 등 총 14개 기업이다. 

따라서 화이트 해커는 네이버의 보안 취약점 발견 시 KISA를 통해 이를 전달한다. KISA는 이렇게 전달받은 취약점을 일정기간 동안 모은 뒤 네이버에 전달한다. 네이버는 전달받은 취약점을 검증·수정한 뒤 리워드 산정 후 발견한 해커에게 포상한다.

지난해 네이버의 버그바운티 결과로 '크로스 사이트 스크립팅(XSS)'이 전체의 68%로 압도적인 1위를 차지했다. XSS는 게시판, 메일 등에 삽입된 악의적인 스크립트에 의해 페이지를 깨지게 하거나 개인 정보를 특정 사이트로 전송하는 공격이다. 올해 또한 전체 버그바운티 가운데 XSS가 75%를 차지한다.

이렇게 산출된 버그바운티는 다양한 방식으로 활용될 수 있다. 허규 네이버 보안 담당자는 “외부에서 바라보는 네이버의 취약성에 대해 고찰할 수 있다”면서 “또 버그바운티로 들어온 취약점을 개발자 교육에 활용할 수 있다”고 전했다. 

네이버는 버그를 막기 위해선 개발자가 처음부터 끝까지 세심하게 관심을 기울여야 한다고 강조했다. 허규 담당자는 “서비스를 제일 잘 아는 개발자가 시큐어 코딩부터 어뷰징 이슈까지 관심을 가져야 한다”면서 “가용성을 보장하면서 최대한 안전하게 설계를 하고 안전한 코드를 생성하도록 해야 한다”고 강조했다. 

<홍하나 기자>hhn0626@ddaily.co.kr



네이버 뉴스스탠드에서 디지털데일리 뉴스를 만나보세요.
뉴스스탠드


  • IT언론의 새로운 대안-디지털데일리
    Copyright ⓒ 디지털데일리. 무단전재 및 재배포 금지
 
배너
· [카드뉴스] 기업의 지속가능성 해법은 결국···
· [카드뉴스] B tv 서라운드, 거실을 영화관으로
· [이지크로] 안전하고 믿을 수 있는 에스크로
배너
  • 동영상
  • 포토뉴스
SKT·KT·LGU+, 내일 5G '세계 최초' 상… SKT·KT·LGU+, 내일 5G '세계 최초' 상…
  • SKT·KT·LGU+, 내일 5G '세계 최초' 상…
  • 삼성전자, “프리미엄 가전 써보고 구입하세요…
  • LGU+, 5G 12월1일 상용화…하현회 대표, “…
  • KT, 유무선 장애 6일차…동케이블 가입자 피…