버그바운티는 실력 게임일까요, 아니면 운 게임일까요.

많은 사람들이 "결국 잘하는 사람이 많이 번다"라고 말합니다. 반대로 누군가는 "타이밍 좋으면 하나 크게 걸리는 거 아니냐"고 합니다. 둘 다 일리가 있어 보입니다. 하지만 저는 이 질문이 애초에 잘못 설정되었다고 생각합니다. 버그바운티는 실력과 운의 문제가 아니라, 확률 밀도와 비용 구조의 문제입니다. 그 구조를 이해하지 못하면 계속 "운빨"이라는 말이 나옵니다.

전통적으로 버그바운티는 이렇게 인식됩니다.
기업은 서비스를 운영하고, 해커는 취약점을 찾아 제보하고, 기업은 보상을 지급합니다. 실력이 좋을수록 더 깊은 취약점을 찾고, 그래서 더 큰 보상을 받는다는 구조입니다.

표면적으로는 공정해 보입니다.
하지만 실제 현장을 조금만 들여다보면 상황이 다릅니다.

대부분의 프로그램은 이미 수백, 수천 명이 보고 지나간 코드베이스입니다. 특히 대형 플랫폼의 경우 출시 초기에 존재하던 명백한 취약점들은 거의 소거되었습니다. 남아 있는 건 다음 중 하나입니다. 극도로 복잡한 논리 버그, 특정 조건에서만 터지는 엣지 케이스
새로운 기능 릴리즈 직후의 짧은 타이밍 창, 외부 종속성 체인에서 발생하는 파생 이슈 등등..
이 시점부터는 단순한 "기본기"만으로는 차별화가 어렵습니다. 실력 상위권 인원들이 비슷한 수준으로 포화되어 있기 때문입니다.여기서 운처럼 보이는 요소가 등장합니다.

예를 들어 보겠습니다.

어떤 대형 서비스가 신규 기능을 배포했습니다. 배포 직후 몇 시간 동안 검증 로직이 완전히 동기화되지 않은 상태였고, 특정 API 조합에서 권한 우회가 가능했습니다.

이걸 발견한 사람이 고수일까요, 운이 좋았을까요??
현실은 이렇습니다.

그 시점에 그 기능을 집중적으로 보고 있었는가 릴리즈 노트를 매번 읽는 습관이 있었는가, 트래픽 패턴 변화를 모니터링하고 있었는가, 자동화 스캐너를 돌려두고 있었는가. 이 모든 것들이 "준비된 상태"라는 전제 위에서 타이밍이 맞아떨어진 것입니다. 준비되지 않은 사람에게는 그 기회가 와도 인지조차 되지 않습니다.

왜 많은 사람들이 운이라고 느낄까요.
이유는 간단합니다.

버그바운티는 분포가 극단적으로 치우쳐 있습니다.
상위 5%가 보상의 대부분을 가져갑니다. 중위권은 리포트는 많이 쓰지만 리젝도 많이 당합니다. 하위권은 거의 수익이 없습니다.

이 구조에서는 작은 표본만 보고도 "저 사람은 한 방 터졌다"는 인상이 강하게 남습니다. 하지만 그 한 방 뒤에는 보이지 않는 수백 번의 실패가 존재합니다.

CTF와도 다릅니다. CTF는 문제 풀이 능력을 평가합니다. 버그바운티는 환경 이해 + 리스크 감수 + 탐색 전략 + 지속성을 평가합니다. 문제를 푸는 것이 아니라, "어디에 문제가 있을지"를 추정하는 게임입니다.

그럼에도 불구하고 운 요소는 존재합니다.
특정 시점에 코드가 허술했다 담당자가 리뷰를 놓쳤다 경쟁자가 아직 못 봤다, 이건 분명히 통제 불가능한 변수입니다. 하지만 중요한 건, 운은 노출 빈도에 비례한다는 점입니다.

많이 시도할수록 더 빨리 릴리즈를 감지할수록 더 많은 표면을 자동화로 훑을수록
운이 개입할 확률은 증가합니다.

결국 실력은 "운을 많이 만나는 구조를 만드는 능력"에 가깝습니다.

또 하나 짚고 넘어가야 할 부분이 있습니다.
버그바운티는 점점 자동화 경쟁으로 이동하고 있습니다.
대량 자산 수집 서브도메인 브루트포스 Diff 기반 기능 비교 자동화된 파라미터 퍼징
이 영역에서는 개인의 직관보다 시스템 설계가 중요합니다. 결국 실력의 정의가 "핸드크래프트 취약점 발굴"에서 "효율적인 탐색 인프라 구축"으로 이동하고 있습니다.
여기서부터는 운이 아니라 자본과 자동화 역량의 문제가 됩니다.

그렇다면 결론은 무엇일까요.
버그바운티는 운인가?

아닙니다.

하지만 완전히 실력 게임도 아닙니다. 정확히는 이렇습니다.
버그바운티는 초기에는 실력 격차가 크고, 상위권으로 갈수록 실력은 수렴하고, 그 이후에는 확률 관리 싸움이 됩니다.

운은 존재하지만, 그 운은 무작위로 분배되지 않습니다.
준비된 사람에게 더 자주 옵니다.
결국 "운빨 아니냐"는 말은 이런 의미에 가깝습니다.
나는 충분히 시도하지 않았거나, 시도는 했지만 구조적으로 비효율적이었거나, 경쟁 환경의 밀도를 과소평가했거나.
버그바운티는 도박이 아닙니다.
하지만 기대값을 계산하지 않으면 도박처럼 느껴집니다.그리고 많은 사람들이 이 기대값 계산 없이 뛰어듭니다.
그래서 운이라고 말합니다.
버그바운티는 실력과 운의 싸움이 아닙니다..