지난 2022년 7월 4일, 미 국방부와 해커원(HackerOne)은 국방부 취약점 공개 프로그램(VDP, vulnerability disclosure program)의 일부로 7일간의 버그 바운티 챌린지인 Hack US를 시작했다.
이번 챌린지는 CDAO(Chief Digital and Artificial Intelligence Office), DDS(Directorate for Digital Services), DC3(DoD Cyber Crime Center), 그리고 해커원이 시작했으며, 목표는 정부 인프라의 취약점을 보고하는데 화이트 해커들을 참여시키고 패치해 복원력을 높이는 것이다.
시큐리티어페어스 보도에 따르면, 최근 미 국방부는 Hack US 버그 바운티 챌린지 결과를 공유하며 제출된 취약점 보고서에 대해 총 7만5천 달러의 보상금을 지급했고, 보너스 바운티로 3만5천 달러를 지급했다고 밝혔다.
미 정부 기관에 따르면 267명의 화이트 해커가 챌린지에 참여했고, 그 중 139명은 미 국방부 VDP에 처음 참여했다.
VDP 이사는 “7일만에 Hack US에 참여한 해커들이 648건의 보고서를 제출했고, 이중 다수는 심각도 높은 버그로 간주되어 버그 바운티 챌린지 동안 식별 및 수정되지 않았다.”라고 하며 “해당 챌린지는 인센티브 방식으로 전문 지식을 활용해 얻을 수 있는 추가 가치를 증명한다.”고 말했다.
해커들은 648개를 보고했고 이중 349개는 실행 가능했다. 참가자가 보고한 주요 취약점들은 정보 공개, 부적절한 액세스 및 일반 SQL 인제션이었다.
담당자는 “취약점 추세를 알아내 탐지 패턴을 찾아 근본 원인을 해결하고, 시스템을 악용하려는 악성 행위자에 대한 추가 완화를 개발할 수 있도록 새로운 프로세스와 시스템 검사를 생성할 수 있다.”고 덧붙였다.
이어 “악성 행위자보다 두 단계 앞서야 한다. 이 크라우드 소싱 보안 접근방식은 공격 표면의 잠재적 격차를 식별하고 해결하는 핵심 단계라고 할 수 있다.”고 말했다.
★정보보안 대표 미디어 데일리시큐!★