애플, 기다리고 기다리던 버그바운티 신설... 처음엔 비공개로
시큐어 부트 펌웨어와 시큐어 엔클레이브 프로세서에 가장 높은 상금 걸려


[보안뉴스 문가용] iOS 관련 기술에서 취약점들을 집중 물색 및 탐구해왔던 전문가들에게 희소식이 생겼다. 드디어 애플도 버그바운티 프로그램을 시작한 것이다. 다만 공개 프로그램은 아니고, 애플이 초대한 일부에게만 공개될 예정이다. 물론 애플은 버그바운티 프로그램을 확장해 완전 공개 체제로 전환할 계획이라고 설명했다.

애플의 보안 엔지니어링 책임자인 이반 크르스틱(Ivan Krstic)은 “iOS 보안 보강에 외부 전문가들의 도움이 컸다”며 이번 버그바운티를 시작하게 된 계기를 설명했다. “그러나 역설적이게도 이런 도움 때문에 iOS가 점점 더 안전해짐에 따라 치명적인 취약점을 발견하는 게 매우 힘들어졌습니다. 그래서 버그바운티의 도움을 받아보려고 합니다.”

신설된 버그바운티는 크게 다섯 가지 기술 항목으로 나눠져 있다. 네 개는 기기 취약점이고 하나는 애플의 아이클라우드와 관련된 것이다. 보상 금액이 가장 큰 건 시큐어 부트 펌웨어(Secure Boot Firmware)와 관련된 것으로, 인증되지 않은 애플리케이션이 iOS 기기에서 실행되는 것을 차단하는 기술이라고 볼 수 있다. 이 부분에서 취약점을 발견하면 최대 2십만 달러까지 받을 수 있다.

그 다음으로 높은 건 애플의 시큐어 엔클레이브 프로세서(Secure Enclave Processor)와 관련된 것으로 여기엔 10만 달러가 걸려있다. 시큐어 엔클레이브 프로세서란 하드웨어 요소로 암호화 기능과 키 관리 등 애플의 모바일 기기 보안에서 굉장히 중요한 부분을 담당하고 있다.

그밖에, 커널 단계에서 임의의 코드 실행과 관련된 버그를 찾거나 아이클라우드 계정 정보가 저장된 애플 서버에 무단으로 접근에 성공하면 최대 5만 달러의 상금이 수여된다. 샌드박스된 프로세스에서부터 샌드박스 바깥에 있는 사용자 데이터에 접근 성공하면 1만 달러다.

물론 여기서 언급된 금액들은 전부 ‘최대’ 금액이라는 걸 기억해야 한다. 그 최대치 안에서 실제 지급될 금액을 결정하는 건 애플의 보안 엔지니어들이며, 최신 iOS 버전을 통해 보고된 취약점 및 버그들을 실험해볼 예정이다. “얼마나 치명적인가, 얼마나 구현 가능성이 높은가, 얼만큼의 피해를 끼칠 수 있는가를 위주로 볼 것입니다.”

애플과 견줄 규모가 되는 IT 기술 기업들 중 버그바운티를 이미 시행하지 않는 곳을 찾기란 매우 힘든 일이다. IBM, MS, 구글, 아마존, 페이스북, 야후, 오라클 등은 이미 버그바운티를 오래전부터 실행해왔으며, 풍부한 경험과 자료를 비축해놓은 상태다. 다만 애플은 늦은 만큼 보상액을 후하게 쳐준다는 계획을 가지고 있다.

애플의 버그바운티 프로그램 신설은 애플이 iOS 10을 준비해오면서 세운 여러 가지 보안 계획의 ‘작은’ 일부다. 다른 보안 계획에는 어떤 것이 있을까? “강력한 메모리 및 데이터 보호, 아이클라우드에 저장된 고객 정보 보호를 중점으로 업그레이드할 예정입니다. 특히 고객 정보에 대해서는 저희 애플조차도 접근할 수 없도록 보호할 예정입니다.”
Copyrighted 2015. UBM-Tech. 117153:0515BC
[국제부 문가용 기자(globoan@boannews.com)]

<저작권자: 보안뉴스(www.boannews.com) 무단전재-재배포금지>