크라우드소싱 보안이란 무엇입니까?

새로운 소프트웨어 제품이 시장에 출시되기 전에 취약점 테스트를 거칩니다. 모든 책임 있는 회사는 고객과 회사를 사이버 위협으로부터 보호하기 위해 이러한 테스트를 수행합니다.

최근 몇 년 동안 개발자들은 보안 테스트를 수행하기 위해 크라우드소싱에 점점 더 의존해 왔습니다. 그런데 크라우드소싱 보안이란 정확히 무엇입니까? 어떻게 작동하며 다른 널리 사용되는 위험 평가 방법과 어떻게 다릅니까?

크라우드소싱 보안 작동 방식

모든 규모의 조직에서는 전통적으로 시스템 보안을 위해 침투 테스트를 사용해 왔습니다 . 침투 테스트는 본질적으로 실제 공격과 마찬가지로 보안 결함을 노출시키는 시뮬레이션된 사이버 공격입니다. 그러나 실제 공격과 달리 이러한 취약점은 일단 감지되면 패치됩니다. 이는 해당 조직의 전반적인 보안 프로필을 강화합니다. 간단하게 들리죠?

하지만 침투 테스트에는 몇 가지 문제가 있습니다. 일반적으로 매년 수행되는데, 모든 소프트웨어가 정기적으로 업데이트되기 때문에 이는 충분하지 않습니다. 둘째, 사이버 보안 시장이 상당히 포화되어 있기 때문에 침투 기업은 때때로 서비스 비용 청구를 정당화하고 경쟁업체보다 눈에 띄기 위해 실제로 존재하지 않는 취약점을 "발견"합니다. 예산 문제도 있습니다. 이러한 서비스는 상당히 비쌀 수 있습니다.

크라우드소싱 보안은 완전히 다른 모델로 운영됩니다. 보안 문제에 대해 소프트웨어를 테스트하기 위해 개인 그룹을 초대하는 것이 중심입니다. 크라우드소싱 보안을 사용하는 회사는 자사 제품을 테스트하기 위해 특정 그룹의 사람들이나 일반 대중을 초대합니다. 이는 직접 수행하거나 제3자 크라우드소싱 플랫폼을 통해 수행할 수 있습니다.

누구나 참여할 수 있지만 주요 대상은 화이트 해커나 연구원이다. 보안 취약점을 발견하면 상당한 금전적 보상이 따르는 경우가 많습니다. 분명히 금액을 결정하는 것은 개별 회사에 달려 있지만, 크라우드소싱은 전통적인 침투 테스트보다 장기적으로 더 저렴하고 효과적입니다.

침투 테스트 및 기타 형태의 위험 평가와 비교하여 크라우드소싱은 다양한 장점을 가지고 있습니다. 첫째, 아무리 좋은 침투 테스트 회사를 고용하더라도 항상 보안 취약점을 찾고 있는 많은 사람들이 이를 발견할 가능성이 더 높습니다. 크라우드소싱의 또 다른 확실한 장점은 그러한 프로그램이 무제한이라는 것입니다. 즉, 지속적으로 실행될 수 있으므로 일년 내내 취약점을 감지(및 패치)할 수 있습니다.

3가지 유형의 크라우드소싱 보안 프로그램

대부분의 크라우드소싱 보안 프로그램은 취약성 발견자에게 금전적 보상을 제공한다는 동일한 기본 개념에 초점을 맞추고 있지만 세 가지 주요 범주로 분류할 수 있습니다.

1. 버그 발견 시 보너스 받기

Facebook에서 Apple, Google에 이르기까지 거의 모든 기술 대기업에는 활발한 버그 현상금 프로그램이 있습니다. 작동 방식은 매우 간단합니다. 버그를 발견하면 보상을 받게 됩니다. 이러한 보상은 수백 달러에서 수백만 달러까지 다양하므로 일부 화이트 햇 해커가 소프트웨어 취약점을 발견하여 풀타임 수입을 얻는 것은 놀라운 일이 아닙니다.

2. 취약점 공개 프로그램

취약점 공개 프로그램은 위의 그룹과 매우 유사하지만 한 가지 주요 차이점이 있습니다. 이 프로그램은 공개됩니다. 즉, 화이트 해커가 소프트웨어 제품에서 보안 결함을 발견하면 해당 결함은 모든 사람이 알 수 있도록 공개됩니다. 사이버 보안 회사는 종종 다음과 같은 활동에 참여합니다. 취약점을 발견하고 이에 대한 보고서를 작성하며 개발자와 최종 사용자에게 권장 사항을 제시합니다.

3. 악성코드 크라우드소싱

파일을 다운로드했지만 실행해도 안전한지 확실하지 않으면 어떻게 되나요? 악성코드인지 어떻게 확인하나요? 바이러스 백신 제품군에서는 이를 악성으로 인식하지 못할 수 있으므로 VirusTotal 또는 유사한 온라인 바이러스 스캐너 로 이동하여 파일을 업로드하면 됩니다. 이러한 도구는 수십 개의 바이러스 백신 제품을 합성하여 문제의 파일이 유해한지 여부를 확인합니다. 이는 크라우드소싱 보안의 한 형태이기도 합니다.

어떤 사람들은 사이버 범죄가 크라우드소싱 보안의 한 형태라고 믿습니다. 돈과 명성을 위해 시스템을 이용하려는 위협 행위자보다 시스템의 취약점을 찾는 데 더 동기를 부여하는 사람은 없기 때문에 이 주장은 의미가 있습니다. 결국 범죄자는 의도치 않게 사이버 보안 업계에 적응, 혁신, 개선을 강요하는 사람입니다.

크라우드소싱 보안의 미래

분석 회사인 Future Market Insights에 따르면 글로벌 보안 시장은 앞으로도 계속 성장할 것입니다. 실제로 추정에 따르면 2032년까지 약 2억 4,300만 달러의 가치가 있을 것으로 추정됩니다. 이는 민간 부문의 이니셔티브뿐만 아니라 전 세계 정부가 크라우드소싱 보안 조치를 채택했기 때문입니다.

이러한 예측은 사이버 보안 산업이 어떤 방향으로 향하고 있는지 측정하려는 경우 확실히 유용할 수 있지만, 기업 조직이 보안 목적으로 크라우드소싱 접근 방식을 채택하는 이유를 파악하는 데 경제학자가 필요하지는 않습니다. 어떻게 보든 숫자는 중요합니다. 게다가, 책임감 있고 신뢰할 수 있는 사람들로 구성된 팀이 1년 365일 귀하의 자산에 대한 취약점을 모니터링한다면 어떤 해를 끼칠 수 있습니까?

간단히 말해서 위협 행위자에 의해 소프트웨어가 손상되는 방식이 크게 바뀌지 않는 한 크라우드소싱 보안 프로그램이 양측 모두에 나타날 가능성이 더 높습니다. 이는 개발자, 화이트 해커, 소비자에게는 좋은 소식이지만 사이버 범죄자에게는 나쁜 소식입니다.