해커들이 2020년에 모바일 운영체제(OS)인 안드로이드와 사물인터넷(IoT) 취약점 발굴에 집중한 것으로 나타났다.
세계 최대 버그 바운티 플랫폼 해커원은 이같은 내용을 담은 '2021 해커 리포트'를 지난 8일 공개했다.
버그 바운티는 해킹 피해를 사전에 예방하기 위해, 보안 취약점에 포상금을 걸고 제보를 받는 프로그램이다. 해커원은 작년 버그 바운티 프로그램에 참여한 전세계 해커 4천명을 대상으로 설문조사를 실시해 이번 보고서를 작성했다.
보고서에 따르면 작년 해커들은 취약점 발굴 활동을 활발하게 펼쳤다. 취약점을 제출한 해커 수가 전년 대비 63% 늘었고, 버그 바운티 프로그램에 따른 취약점 포상금도 전년 1900만 달러(약 217억원)에서 4천만 달러(약 457억원)로 증가했다. 이를 통해 지금까지 해커원에서 창출된 해커 수익이 1억 달러(약 1천142억원)를 넘어섰다고 밝혔다.
작년 해커들은 취약점을 탐색할 기술 분야로 안드로이드와 IoT, API에 집중했다. 안드로이드에 집중한다고 응답한 해커 수는 전년 대비 663% 증가했다. IoT와 API를 꼽은 해커는 각각 1000%, 694% 급증했다.
보고된 취약점들을 살펴보면, 부적절한 접근제어 및 권한상승 관련 취약점 건수가 전년 대비 53% 증가했다. 특히 클라우드 구성 오류에 따른 취약점의 경우 보고 건수가 전년 대비 310% 증가한 것으로 조사됐다.
해커 중 38%는 코로나19가 발생한 이후 취약점 발굴에 더 많은 시간을 투자했다고 답했다.
이번 조사에서는 버그를 발견했지만, 공개하지 않았다고 응답한 비중도 절반 정도로 나타났다. 작년 해커 중 66%가 이같이 응답한 데 비해 비중이 감소했으나, 여전히 상당한 수치다. 버그를 공개하지 않은 이유로는 명확한 보고 체계 부족(27%), 버그 관련 업체에 대한 부정적인 경험(27%), 취약점 포상금 부재(19%) 등이 주로 꼽혔다.
취약점 발굴 활동 목적에 대해 해커들은 수익 창출 외 학습(85%)과 경력 강화(62%)를 고려하고 있다고 응답했다.
관련기사
- 데이터 유출 협박에도…강경해진 랜섬웨어 피해자들2021.02.04
- "화이트해커 설 자리 부족한 현실 바꿔야"2020.12.30
- 해커, 취약점 정보 판매 활발…"월 1억원치 팔려"2020.10.15
- 랜섬웨어 해커, '카르텔'까지 등장했다2020.06.05
보고서는 버그바운티 등 해커들이 발굴한 취약점 정보를 공유받아 사내 보안팀의 역량을 강화할 것을 제안했다. 디지털 트랜스포메이션과 원격근무로 해킹 가능성이 있는 공격 표면이 신속히 변화하고, 확장되고 있는 상황이라는 것을 언급했다. 기존 방식으로는 IT 환경 변화에 민첩하게 대응하면서, 보안을 담보하기 어렵다는 주장이다.
해커원 창립자인 조버트 아브마는 보고서에서 "모든 범주에서 취약점 제출이 크게 늘었으며, 다양한 기술을 전문적으로 다루는 해커가 증가하고 있다"고 언급했다.
