참가 계기
학교에서 듣고 있던 정보 보안 수업에서, KISA 주관 교내 버그바운티 대회에 대해 알게 되었다. 이전에 이런 버그 헌팅을 진행해 본 적은 없었지만, 도움이 될 수 있을 거라는 생각에 참가하게 되었다.
참가 내용
먼저 KISA 아카데미가 지원하는 hackgem 의 버그 바운티 강의를 수강했다. 초급 과정과 중급 과정 총 20시간 정도의 분량이었고, XSS, CSRF, SSRF 등 기본적인 웹 보안 취약점과 취약점 탐색을 위한 여러 툴 사용 방법, 그리고 안드로이드 보안 취약점에 대해서도 조금 배울 수 있었다.
이후 Finder gap에서 주최한 학부생에 대한 비공개 버그 바운티 프로그램에 참가했다. 어떤 솔루션 기업의 여러 사이트와 실제 운영 중인 서비스가 주어지고, 해당 서비스들의 취약점을 보고해, 점수 순대로 시상하는 방식이었다.
결과
결과적으로, 유효한 리포트를 제출하지 못했기에 수상에는 실패했다. 학부 학생들을 대상으로만 진행했던 버그 바운티 대회였기에 “혹시” 하는 마음도 있었고, 실제로 내가 첫 리포트를 제출했기 때문에 더 그런 생각이 들었던 것 같다. 그러나 대회 마감 며칠 전부터 많은 양의 리포트가 올라왔고, 그래서 리포트 양을 늘리기 위해 이것저것 테스트를 해봤던 것 같다. 첫 참가였기에 나름대로 취약점을 찾으려 학기 중임에도 많은 시간과 노력을 기울였고, 어느정도 의미 있는 취약점을 찾았다고 생각했지만, 결과적으론 유효한 리포트를 제보하지 못해 0P를 받았다.
얻은 것
결과는 아쉬웠지만 몇 가지 얻은 것들은 있었다.
- Burp suite를 비롯한 윤리적 해킹을 위한 기본 툴 사용법:
- 툴을 사용해 웹 서버로 보내는 HTTP 패킷을 조작하는 방법을 배웠다.
- 크로스 사이트 스크립팅, CSRF, SSRF 등 다양한 웹 취약점 지식
- 기존에 알고 있던 SQL injection 등 유명한 취약점 외에도, 여러 취약점 및 이를 알기 위한 지식(CVE 검색 등)을 알게 되었다.
- 버그 바운티 참가 및 커뮤니케이션 경험
- 기존엔 버그 바운티라는 개념조차 몰랐지만, 어느 정도 프로그램이 가지는 의미와 그 장점을 알게 되었다.
대회 회고
나는 향후 대학원 진학 후에 클라우드 보안에 대해 연구하게 되겠지만, 웹 보안에 대한 어느 정도 더 깊은 공부와 프로젝트 경험이 필요할 것 같다고 느꼈다. 여러 일반적인 디지털 상의 웹 취약점을 토대로하면, 더 좁은 분야인 클라우드 보안에 대해서도 연구를 잘 할 수 있지 않을까라는 생각이 들었다.
추가로, 윤리적 해킹의 중요성에 대해서도 알 수 있었다. 버그 바운티 초반에, DIR search라는 자동화된 스캔 도구를 사용했다. 사실 잘 알지 못하고 사용하였으나, 이후 버그 바운티 공지에서 스캔 도구를 사용하지 말라는 경고를 확인 후 자동 스캔 도구는 일체 사용하지 않았다. 버그 바운티 마지막 날, 다른 참가자들 중 다수가 스캔 도구를 사용해 과도한 트래픽이 타겟 사이트에 가해지는 일이 발생했다. 실질적인 불이익은 없었으나, 저녁 늦게 버그 바운티 담당자분의 문자가 도착한 것이 인상 깊었다.
윤리적 해킹인만큼, 앞으로 버그 바운티를 수행할 때 기존에 공지된 제한 사항을 잘 확인하고 의뢰 기업이 정한 모의 해킹 범위 내에서 수행해야겠다는 생각이 들었다.
앞으로
FINDER GAP에서 주최하는 핵더챌린지 버그바운티 대회에 참여해 볼 예정이다. 또한, 웹 보안 취약점에 대해 더 깊게 공부하기 위해 서적 구매 및 추가적인 공부가 필요할 것이라고 생각된다. 결과에 실망하지 말고, 얻은 것에 더 의미를 두고자 한다.
6/18 수정
수상하지 못할거라고 생각했지만, 뜻밖에도 우수상을 수상했다.
앞으로 더 열심히 할 수 있는 동기부여가 된 것 같다.