코드베이스에서 취약점 네 개 찾으면 최대 1만 달러 지급
“현상금 제도, 현대 보안 환경에 반드시 필요”


▲ 아니, 그 현상 말고...
[보안뉴스 문가용] 우버가 공식 버그바운티 프로그램을 발표했다. 이는 약 1년 동안 200여 명의 보안전문가들과 베타테스트를 진행해 버그를 100개 가까이 찾아낸 직후의 결정으로, 해커원(HackerOne)과 협력 하에 실시할 예정이다.

우버는 “이번 버그바운티 프로그램은 각지의 화이트햇들에게 열려있으며 우버의 코드베이스를 그 대상으로 한다”고 발표했다. 즉 코드베이스에서 오류를 찾아내는 보안 전문가들에게 보상을 약속한 것. 찾아낸 버그가 얼마나 치명적인가에 따라 최대 1만 달러까지 지급될 예정이라고 한다. 이 버그바운티 프로그램은 5월 1일부터 시작해 90일 동안 진행된다.

다만 여기에 한 가지 조건이 있는데 버그를 찾는 노력이 상금으로까지 이어지려면 아무도 발견한 적 없는 오류를 네 개 이상 찾아내야 한다는 것이다. 대신 누군가 90일의 기간 동안 같은 오류가 중복되어 보고될 경우 먼저 발견한 사람에게는 보너스가 지급된다. 우버에 의하면 이 보너스는 이미 보너스 대상이 확보한 상금의 10% 정도가 될 것이라고 한다.

우버의 CSO인 조 설리반(Joe Sullivan)은 “우버의 시스템을 강화하려면 계속 지켜보는 수밖에 없다”며 “이번 버그바운티 프로그램으로 인해 내부에서 지켜볼 수 없는 부분과 시간이 커버되길 기대한다”고 밝혔다. 또한 우버는 이번 버그바운티로 인해 발견된 고급 취약점 정보를 공개할 방침이라고도 설명했다. 단, 발견자의 동의가 있다면 말이다.

한편 우버의 CISO인 존 플린(John Flynn)은 버그바운티 자체에 대한 무한한 지지를 보내는 쪽이다. “현대 소프트웨어 개발 환경에 있어서 버그바운티와 같은 외부인 초청 현상금 프로그램은 이미 필수가 되었다고 봅니다. 보안 전문가들에게는 새로운 수익거리가 되고 저희에게는 추가 보안 요원들이 생기는 것이죠. 개발사는 보다 완벽한 프로그램을 만들고, 전문가들은 돈을 더 벌고, 버릴 게 하나도 없는 제도입니다.”

버그바운티 세부 사항은 여기서 열람이 가능하다.
[국제부 문가용 기자(globoan@boannews.com)]

<저작권자: 보안뉴스(www.boannews.com) 무단전재-재배포금지>