해킹으로 돈 버는 방법 - 해커들은 돈을 어떻게 버는가

어.. 몇년동안 다루려다가 미뤄뒀던 주제이다.

내가 고1 당시에 궁금하기도 했고, 지금 해킹을 시작하는 꿈나무 해커들이 제일 궁금한 주제일 것 같다.

 

해커들은 돈을 어떻게 버는가? 해킹해서 돈 벌기? 사실 그렇게 와닿은 얘기는 아니였다.

물론 그 당시에는 말이지.. 지금은 꽤 많은 돈을 벌고 있다, 아니 벌었다. 요즘엔 바빠서 잘 못한다..

 

서론은 이만하고 바로 본 주제로 가보도록 하겠다.

대부분의 해커들이 돈을 버는 방법은 바로 버그바운티이다

버그바운티 (Bug Bounty)

어떤 분들은 해킹 영화에서 본 장면을 떠올리며 멋지게 해킹을 해서 돈을 빼내는 장면을 떠올리거나,

대형 IT 회사들의 보안을 침입하고 그 회사에 스카우트 되거나 많은 보상을 받는걸 상상했을수도 있다.

 

하지만 요즘 세상에 그러면 큰일난다.

옛날에는 그런 사례가 워낙 적었고 요즘처럼 IT 시장이 크지도 않았기 때문에 괜찮았을지도 모르겠으나

IT 그 자체가 하나의 자산이 된 세상은 허가받지 않은 접근들에 그렇게 관대하지 않다.

 

그럼 버그바운티란 무엇인가?

어떻게 보면 방금 언급한 내용과 비슷한 맥락일 수 있다.

회사들의 웹 어플리케이션이나 제품들에 대한 취약점을 조사하여 조치 방법이 포함된 보고서를 작성하고,

그 퀄리티에 맞는 보상을 받는 일종의 프로세스를 버그바운티라고 한다.

 

물론 허가가 되었고 회사가 제공하는 환경에서 진행한다면 말이다, 위에서 언급한것처럼 제 멋대로의 접근은 불법이다

 

국내에는 버그바운티 문화나 커뮤니티가 많이 없어서 내가 활동하던 당시에는 보통 외국의 버그바운티 커뮤니티를 많이 돌아다녔다. 그런데 외국의 커뮤니티는 애시당초 영어기도 하고 진입장벽이 좀 높다고 느낄수도 있기 때문에 여러분들이 친근한 한국의 버그바운티 사이트들부터 얘기해보겠다.

국내 버그바운티 사이트

일단 구글에 한국어로 "버그바운티"라고 검색하게 되면 몇가지 목록이 나온다.

• 네이버 버그 바운티
• 지니언스 버그 바운티
• 카카오 버그바운티

등등 여러 유명한 회사들의 버그바운티가 나오게 된다.

 

내 얘기를 예시로 들어보자면 작년에 어떤 분에게 소개를 받아서 지니언스 버그바운티를 진행하였다.

이 회사는 네이버나 카카오와는 달리 장비를 파는 회사여서 장비에 대한 버그바운티를 진행했다 (NAC, EDR)

 

하지만 내 생각에 난이도 자체는 이런 장비 버그바운티 보다는 카카오나 네이버 같은 일반 소비자를 대상으로 서비스를 운영하는 회사들의 버그바운티가 비교적 쉽다고 생각을 한다.

 

그래서 네이버, 카카오 버그바운티도 좋지만 여러 버그바운티 프로그램들을 모아주고 관리해주는 사이트에 대해서 소개하겠다.

패치데이

패치데이? 처음 들어보시는분들도 있을거다.

하지만 요즘에 해킹을 시작한 분들이시라면 드림핵은 모두 한번쯤 들어보셨을꺼라고 생각한다.

드림핵을 만들고 관리하는 회사 티오리의 버그 바운티 플랫폼이 바로 패치데이이다.

https://patchday.io/

PatchDay | 버그바운티 플랫폼

생긴지는 얼마 안된 사이트이다. (물론 내 기준) 

드림핵도 처음 해킹을 시작할땐 없던 사이트였다가 거의 첫 이용자 수준으로 사용했던 서비스인데,

패치데이도 나오자마자 바로 가입을 하고 사용을 해보았다.

 들어가서 로그인하면 바로 지금 신청할 수 있는 버그바운티 목록들이 나온다.

처음 시작할때만 해도 드림핵이랑 패치데이 버그바운티가 다였는데 뭐가 많이 생겼다

 

이렇게 원하는 프로그램을 선택해서 들어가게 되면 포상금 기준이나 취약점 인정 기준등 버그바운티 진행을 위한

정보들이 매우 상세하게 나와있다. 보고서 제출도 이 플랫폼을 거쳐서 하면 된다. (보고서 양식을 제공해주는곳도 있다)

 

버그바운티는 나에겐 컴퓨터로 돈 버는 법 중 하나이다.

자 그럼 정해진 규칙 내에서 회사측의 요구사항을 준수하면서 재밌게 해킹하고 돈도 같이 벌어도록 하자