네이버 버그바운티를 해보면서 후기를 남깁니다.
BugBounty
원래부터 버그바운티를 자주 하지는 않았지만 똑똑한 동료들(Claude, Codex)가 있어 한번 취약점을 찾아보자라는 생각으로 네이버 버그바운티를 2주 정도 진행했습니다.
Conclusion
거창한 취약점은 아니지만 취약점을 발견해서 제보한 결과 200$를 받았으며 명예의 전당도 올라갔습니다.!!
매우 많은 프론트코드 속에서 의미있는 표면을 찾기 위해 LLM을 사용했는데 확실히 이제는 사람이 하나하나 분석을 하는 것보다 LLM을 사용하는게 더 빠르고 나은 결과를 얻는거 같습니다.

점점 LLM을 이용해 훨씬 분석하기가 쉬운 환경으로 변하면서 한편으로는 점점 멍청해지는 기분이 듭니다. 취약점을 찾는 과정에서 내가 한 부분이 뭘까 라는 생각이 계속 맴돌고 있습니다.
그래도 AI와 보안 지식을 많이 알아야 LLM 활용을 잘하는 건 맞으니 공부를 꾸준히 할 수 있게 마음가짐을 다시 다잡아야겠습니다.
요즘 대부분의 기업들이 모의해킹이나 소스코드 점검을 AI를 이용해서 점검을 진행하고 있는거 같습니다.
저도 다양한 AI 점검 솔루션들을 사용해보고 있는데 앞으로의 업무 방향은 AI가 찾는 취약점을 검증하는 일이 주된 일이 될 것 같습니다.(검증도 AI가 하려나…??)
특히 LLM이 찾아주는 Finding에서 정/오탐을 확실히 검증을 하려면 무엇보다 코드에 대한 이해와 개발 능력이 정말 중요하다고 느꼈습니다.