버그바운티는 해커원 플랫폼에서 진행...최대 상금은 1만 달러
[보안뉴스 문가용 기자] 클라우드 네이티브 컴퓨팅 재단(Cloud Native Computing Foundation, CNCF)가 큐버네티스를 주제로 한 공공 버그바운티 프로그램을 시작한다고 발표했다. 취약점 하나당 최고 1만 달러의 상금이 주어질 예정이라고 한다.
[이미지 = iclickart]
큐버네티스는 컨테이너화 된 애플리케이션들의 구축, 배포, 확장, 관리를 자동화 할 수 있게 해주는 오픈소스 시스템이다. 원래는 구글에서 먼저 개발한 것이었으나, 지금은 CNCF가 관리하고 있다.
CNCF가 새롭게 진행할 버그바운티 프로그램은 해커원(HackerOne)이라는 버그바운티 전문 플랫폼을 통해 진행될 것이라고 한다. 전문가들이 이곳을 통해 보고서를 제출하면 해커원이 접수하고 CNCF가 검토한다는 것이다. CNCF는 “보고서가 제출되면 근무일 기준 하루 안에 답장을 하고, 열흘 안에 평가하며, 평가 후 열흘 안에 지불을 완료할 계획”을 세우고 있다고 한다.
상금 자체는 최소 100달러에서 최대 1만 달러 사이에서 책정될 예정이다. 큐버네티스 코어에 영향을 주거나 소스코드를 변경할 수 있게 해주거나 디도스 공격을 가능하게 해주는 오류나 버그들이 가장 높은 상금을 받을 수 있는 취약점들이다.
코어 외 요소들에서 발견된 취약점의 경우 가장 높은 금액은 5천 달러가 될 예정이다. 큐버네티스 인프라나 코어 내 알파 기능에 영향을 주는 취약점이라면 최대 2500달러까지 지급된다고 한다.
이 버그바운티를 담당하는 건 큐버네티스 제품 보안 위원회(Kubernetes Product Security Committee)다. 이 위원회는 구글, 레드햇, 쇼피파이(Shopify)의 전문가들로 구성되어 있다. 버그바운티 상세 내용은 여기(https://hackerone.com/kubernetes)서 열람이 가능하다.
큐버네티스에서는 얼마 전 보안 감사가 진행되었고, 이를 통해 치명적인 위험도를 가진 취약점들이 일부 발견되기도 했었다.
3줄 요약
1. 몇 개월 전 보안 감사 진행해 취약점 발견한 큐버네티스.
2. 내친김에 해커원이라는 플랫폼 통해 버그바운티도 시작.
3. 최대 상금은 취약점 하나당 1만 달러. 최저는 100달러.
[국제부 문가용 기자(globoan@boannews.com)]
<저작권자: 보안뉴스(www.boannews.com) 무단전재-재배포금지>