선 넘어도 고소하지 않고, 최대 상금 상한선도 없애
깃허브 내 다양한 서비스로 범위 확대...내부 직원용 도메인도 포함
[보안뉴스 문가용 기자] 2018년 동안 깃허브(GitHub)는 총 25만 달러를 버그바운티 상금으로 지출했다. 그리고 2019년 동안에는 상금 규모를 늘리기로 결정했다.
[이미지 = iclickart]
현지 시각으로 지난 화요일 깃허브는 “2018년, 공개 버그바운티 프로그램을 통해 보안 전문가들에게 총 16만 5천 달러를 지급했다”고 밝히며, “그 외에도 비공개 버그바운티 프로그램을 다수 진행해 적지 않은 금액을 보안 커뮤니티에 투자했다”고 발표했다. 각종 라이브 해킹 행사도 열어 보안 전문가들이 수익을 올릴 수 있는 창구를 마련하기도 했다고 덧붙였다.
깃허브가 말하는 해킹 행사는 라스베이거스에서 지난 8월에 열렸으며, 이 행사를 통해 총 43개의 신규 취약점들이 발굴됐다. 깃허브는 여기에 참가해 의미 있는 성과를 거둔 전문가들에게 7만 5천 달러를 지급했다.
그러면서 깃허브는 2019년 버그바운티 계획도 함께 발표했다. 그중 눈에 띄는 건 합법적인 ‘세이프 하버(safe harbor) 조건’을 추가하겠다는 것인데, 이는 취약점 연구를 하는 전문가들이 도리어 고소당하는 일이 발생하지 않도록 보장한다는 것이다. 취약점을 찾아내는 것만으로도 고소를 당하는 일은 보안 커뮤니티 내에서 비일비재한 일이다.
물론 여기서 말하는 ‘세이퍼 하버’ 보장이란 깃허브라는 테두리 안에서만 가능한 일이다. “깃허브가 진행하는 버그바운티에 참가한 보안 전문가들이 취약점을 찾으려다가 실수로 경계선을 넘어갈 경우, 깃허브는 그 전문가들을 고소하지 않겠습니다.” 예를 들어 깃허브는 라이선스 관련 제약 사항을 통해 리버스 엔지니어링을 금지하고 있다. 하지만 취약점을 찾기 위한 노력의 일환으로써는 리버스 엔지니어링을 인정하겠다는 것이다.
또한 버그바운티의 범위도 확장됐다. 기존에는 해당 사항이 아니었던 깃허브 에듀케이션(GitHub Education), 깃허브 러닝 랩(GitHub Learning Lab), 깃허브 잡스(GitHub Jobs), 깃허브 데스크톱(GitHub Desktop) 애플리케이션, 깃허브 엔터프라이즈 클라우드(GitHub Enterprise Cloud)도 이제 버그바운티 대상이다.
“일반 사용자가 직접 취급하는 시스템에서만 취약점을 찾으라는 것도 올해부터 탈피합니다. 깃허브 내부 시스템과 직원들이 불안하면, 사용자들의 정보도 제대로 보호할 수 없기 때문입니다. 그렇기 때문에 올해부터는 내부 직원들이 사용하는 githubapp.com, github.net 등의 도메인들도 버그바운티 대상이 됩니다.”
마지막으로 깃허브는 “치명적인 취약점을 찾아낸 전문가에 대한 상금 상한선도 없앨 것”이라고 발표했다. 깃허브의 상금 목록에는 최고 상금이 3만 달러라고 되어 있는데, 이에 대해 깃허브는 “일종의 상징적인 가이드라인일뿐”이라고 설명했다.
고위험군에 속하는 취약점을 발견한 전문가는 최대 2만 달러를 상금으로 받을 수 있고, 중간급 위험도를 가진 취약점의 경우 발견자가 가져갈 수 있는 최대 상금은 1만 달러다.
3줄 요약
1. 깃허브, 2019년 버그바운티 계획 발표함.
2. 상금도 올라가고, 범위도 넓어짐. 심지어 내부 직원용 도메인들도 버그바운티에 포함됨.
3. 상금 상한선 없어짐. 이제 취약점에 따라 3만 달러 이상 받아갈 수 있음.
[국제부 문가용 기자(globoan@boannews.com)]
깃허브 내 다양한 서비스로 범위 확대...내부 직원용 도메인도 포함
[보안뉴스 문가용 기자] 2018년 동안 깃허브(GitHub)는 총 25만 달러를 버그바운티 상금으로 지출했다. 그리고 2019년 동안에는 상금 규모를 늘리기로 결정했다.
[이미지 = iclickart]
현지 시각으로 지난 화요일 깃허브는 “2018년, 공개 버그바운티 프로그램을 통해 보안 전문가들에게 총 16만 5천 달러를 지급했다”고 밝히며, “그 외에도 비공개 버그바운티 프로그램을 다수 진행해 적지 않은 금액을 보안 커뮤니티에 투자했다”고 발표했다. 각종 라이브 해킹 행사도 열어 보안 전문가들이 수익을 올릴 수 있는 창구를 마련하기도 했다고 덧붙였다.
깃허브가 말하는 해킹 행사는 라스베이거스에서 지난 8월에 열렸으며, 이 행사를 통해 총 43개의 신규 취약점들이 발굴됐다. 깃허브는 여기에 참가해 의미 있는 성과를 거둔 전문가들에게 7만 5천 달러를 지급했다.
그러면서 깃허브는 2019년 버그바운티 계획도 함께 발표했다. 그중 눈에 띄는 건 합법적인 ‘세이프 하버(safe harbor) 조건’을 추가하겠다는 것인데, 이는 취약점 연구를 하는 전문가들이 도리어 고소당하는 일이 발생하지 않도록 보장한다는 것이다. 취약점을 찾아내는 것만으로도 고소를 당하는 일은 보안 커뮤니티 내에서 비일비재한 일이다.
물론 여기서 말하는 ‘세이퍼 하버’ 보장이란 깃허브라는 테두리 안에서만 가능한 일이다. “깃허브가 진행하는 버그바운티에 참가한 보안 전문가들이 취약점을 찾으려다가 실수로 경계선을 넘어갈 경우, 깃허브는 그 전문가들을 고소하지 않겠습니다.” 예를 들어 깃허브는 라이선스 관련 제약 사항을 통해 리버스 엔지니어링을 금지하고 있다. 하지만 취약점을 찾기 위한 노력의 일환으로써는 리버스 엔지니어링을 인정하겠다는 것이다.
또한 버그바운티의 범위도 확장됐다. 기존에는 해당 사항이 아니었던 깃허브 에듀케이션(GitHub Education), 깃허브 러닝 랩(GitHub Learning Lab), 깃허브 잡스(GitHub Jobs), 깃허브 데스크톱(GitHub Desktop) 애플리케이션, 깃허브 엔터프라이즈 클라우드(GitHub Enterprise Cloud)도 이제 버그바운티 대상이다.
“일반 사용자가 직접 취급하는 시스템에서만 취약점을 찾으라는 것도 올해부터 탈피합니다. 깃허브 내부 시스템과 직원들이 불안하면, 사용자들의 정보도 제대로 보호할 수 없기 때문입니다. 그렇기 때문에 올해부터는 내부 직원들이 사용하는 githubapp.com, github.net 등의 도메인들도 버그바운티 대상이 됩니다.”
마지막으로 깃허브는 “치명적인 취약점을 찾아낸 전문가에 대한 상금 상한선도 없앨 것”이라고 발표했다. 깃허브의 상금 목록에는 최고 상금이 3만 달러라고 되어 있는데, 이에 대해 깃허브는 “일종의 상징적인 가이드라인일뿐”이라고 설명했다.
고위험군에 속하는 취약점을 발견한 전문가는 최대 2만 달러를 상금으로 받을 수 있고, 중간급 위험도를 가진 취약점의 경우 발견자가 가져갈 수 있는 최대 상금은 1만 달러다.
3줄 요약
1. 깃허브, 2019년 버그바운티 계획 발표함.
2. 상금도 올라가고, 범위도 넓어짐. 심지어 내부 직원용 도메인들도 버그바운티에 포함됨.
3. 상금 상한선 없어짐. 이제 취약점에 따라 3만 달러 이상 받아갈 수 있음.
[국제부 문가용 기자(globoan@boannews.com)]
<저작권자: 보안뉴스(www.boannews.com) 무단전재-재배포금지>
.jpg)
.jpg)
.jpg)
.jpg)
.jpg)
.jpg){kind=small}
.jpg){kind=small}
.jpg){kind=small}
.jpg){kind=small}
.jpg){kind=small}
.png){kind=small}
.JPG){kind=small}
.jpg){kind=small}
.jpg){kind=small}
.jpg){kind=small}
.jpg){kind=small}
.jpg){kind=small}
