.jpg)
확대된 버그바운티, 서드파티 앱에서 개인정보 남용 발견되면 ‘신고하세요’
아직 금액은 밝혀지지 않아...새로운 체크아웃 기능은 현재 보안 전문가들이 검사
[보안뉴스 문가용 기자] 인스타그램 애플리케이션 개발자들이 인스타그램 사용자들의 개인정보를 남용하는 것을 발견할 때, 당사자들이나 발견자는 어떤 조치를 취할 수 있을까? 그런 개발자들이 만든 앱을 페이스북에 신고하고, 운이 좋으면 상금도 받을 수 있다.
[이미지 = iclickart]
인스타그램의 소유 기업인 페이스북은 미국 현지 시각으로 이번 주 월요일 “데이터 남용 바운티(Data Abuse Bounty) 프로그램을 인스타그램으로도 확장한다”고 발표했다. 인스타그램 환경에서 사용되는 각종 애플리케이션들에서 계속해서 개인정보 남용 사례가 발생하는 걸 막기 위한 노력의 일환이다.
사실 페이스북이나 인스타그램에서 사용되는 애플리케이션을 통해 각종 정보가 남용되는 건 페이스북에 있어 커다란 골칫거리였다. 최근 페이스북은 앱 개발자들 및 서드파티들이 페이스북 사용자 데이터에 접근할 수 있도록 해준 죄로 연방거래위원회의 고소를 받고 50억 달러라는 기록적인 금액에 합의를 보기도 했다.
지난 해에는 영국 런던에 위치한 정치 컨설팅 및 데이터 분석 업체인 캠브리지 애널리티카(Cambridge Analytica)가 페이스북의 사용자 데이터를 마음대로 활용하도록 함으로써 2016년 미국 대선에 영향을 끼쳤다는 게 밝혀지며 전 세계적인 지탄을 받기도 했다.
얼마 전에는 보안 업체 업가드(Upguard)가 두 개의 AWS 인스턴스를 발견했는데, 페이스북 사용자 수천 만 명의 정보가 저장되어 있었다. 페이스북과 관련이 있는 업체의 것이었다.
이번에 페이스북이 새롭게 확장시킨 버그바운티 프로그램에 따르면, 페이스북은 앞으로 사용자의 데이터를 남용하는 서드파티 앱(현존하는 것이든 예전 것이든)을 신고하는 사람에게 보상금을 줄 것이라고 한다. “정확하고 직접적인 증거가 있으면 누구라도 신고가 가능합니다.”
물론 신고만 한다고 보상금이 주어지는 건 아니다. 신고에 따라 검사했더니 “중대하고 소송을 초래할 수 있는 남용”이 있었다는 게 밝혀졌을 때 보상이 있다. 금액은 밝혀진 건의 중대함이나 심각성에 따라 달라질 것이라고 한다. 최대 금액조차 아직 결정되지 않은 것으로 보인다. 현재까지는 가장 위중한 내용을 담은 보고에 대하여 최대 4만 달러를 지급해왔다.
확대된 버그바운티 외에도 페이스북은 보안 전문가 그룹을 초청해 최근 인스타그램에 도입된 체크아웃(Checkout) 기능의 검사를 요청했다고 발표하기도 했다. 체크아웃은 인스타그램이나 인스타그램 앱에 나온 광고를 구매하려고 할 때 곧장 결제와 지불을 할 수 있게 해주는 기능으로 보안 구멍이 발견될 시 큰 문제가 될 수 있다.
초대된 보안 전문가들은 인스타그램 체크아웃 기능에 대한 특수한 접근 권한을 가지게 될 것이며, 새로운 버그를 찾아낼 때마다 사안에 따라 상금을 받게 될 것이라고 한다. 이번에 초대된 전문가들은 이전부터 페이스북에서 중대한 취약점들을 찾아내 왔던 단골 손님들이라고 한다.
페이스북은 올해 초 새로운 디자인인 FB5를 발표할 때도 비슷한 버그바운티 프로그램을 진행한 바 있다. 당시 초대를 받았던 전문가 중 한 명은 FB5에서 보안 문제를 하나 발견했었다. 공격자가 원격에서 특정 개인의 프로파일 사진을 지울 수 있게 해주는 취약점이었다. 해당 전문가가 어느 수준의 상금을 받았는지는 알려져 있지 않다.
“버그바운티는 보안과 관련된 여러 가지 문제를 빨리 파악하게 해주고, 보안 업계나 공격자들 사이에 형성되어 있는 트렌드를 익히도록 해줍니다. 덕분에 저희가 가진 플랫폼들이 안전하게 유지될 수 있는 것이죠. 각 전문가들이 보내주는 보고서는 피드백 형태로 내부 보안 전략에 흡수되고, 저희는 더 빠르고 단단한 플랫폼이 되어갑니다.” 페이스북 측의 설명이다.
현재까지 페이스북은 버그바운티 참여자들에게 총 750만 달러를 지급했다고 한다. “저희는 외부 전문가들과 함께 호흡을 맞추며 내부 보안 수준을 강화하여 사용자들을 안전하게 보호한다는 책임을 가지고 보안 관련 프로그램을 진행하고 있습니다.”
3줄 요약
1. 페이스북, 플랫폼 내 데이터 남용 사례 발견하는 사람에게 상금 주는 프로그램 확대함.
2. 페이스북만 아니라 인스타그램 플랫폼으로까지 확대됨. 다만 상금 규모는 아직 미발표.
3. 그 외에도 지불과 관련된 체크아웃 기능 곧 출시될 예정. 현재는 보안 검사 중.
[국제부 문가용 기자(globoan@boannews.com)]
아직 금액은 밝혀지지 않아...새로운 체크아웃 기능은 현재 보안 전문가들이 검사
[보안뉴스 문가용 기자] 인스타그램 애플리케이션 개발자들이 인스타그램 사용자들의 개인정보를 남용하는 것을 발견할 때, 당사자들이나 발견자는 어떤 조치를 취할 수 있을까? 그런 개발자들이 만든 앱을 페이스북에 신고하고, 운이 좋으면 상금도 받을 수 있다.
[이미지 = iclickart]
인스타그램의 소유 기업인 페이스북은 미국 현지 시각으로 이번 주 월요일 “데이터 남용 바운티(Data Abuse Bounty) 프로그램을 인스타그램으로도 확장한다”고 발표했다. 인스타그램 환경에서 사용되는 각종 애플리케이션들에서 계속해서 개인정보 남용 사례가 발생하는 걸 막기 위한 노력의 일환이다.
사실 페이스북이나 인스타그램에서 사용되는 애플리케이션을 통해 각종 정보가 남용되는 건 페이스북에 있어 커다란 골칫거리였다. 최근 페이스북은 앱 개발자들 및 서드파티들이 페이스북 사용자 데이터에 접근할 수 있도록 해준 죄로 연방거래위원회의 고소를 받고 50억 달러라는 기록적인 금액에 합의를 보기도 했다.
지난 해에는 영국 런던에 위치한 정치 컨설팅 및 데이터 분석 업체인 캠브리지 애널리티카(Cambridge Analytica)가 페이스북의 사용자 데이터를 마음대로 활용하도록 함으로써 2016년 미국 대선에 영향을 끼쳤다는 게 밝혀지며 전 세계적인 지탄을 받기도 했다.
얼마 전에는 보안 업체 업가드(Upguard)가 두 개의 AWS 인스턴스를 발견했는데, 페이스북 사용자 수천 만 명의 정보가 저장되어 있었다. 페이스북과 관련이 있는 업체의 것이었다.
이번에 페이스북이 새롭게 확장시킨 버그바운티 프로그램에 따르면, 페이스북은 앞으로 사용자의 데이터를 남용하는 서드파티 앱(현존하는 것이든 예전 것이든)을 신고하는 사람에게 보상금을 줄 것이라고 한다. “정확하고 직접적인 증거가 있으면 누구라도 신고가 가능합니다.”
물론 신고만 한다고 보상금이 주어지는 건 아니다. 신고에 따라 검사했더니 “중대하고 소송을 초래할 수 있는 남용”이 있었다는 게 밝혀졌을 때 보상이 있다. 금액은 밝혀진 건의 중대함이나 심각성에 따라 달라질 것이라고 한다. 최대 금액조차 아직 결정되지 않은 것으로 보인다. 현재까지는 가장 위중한 내용을 담은 보고에 대하여 최대 4만 달러를 지급해왔다.
확대된 버그바운티 외에도 페이스북은 보안 전문가 그룹을 초청해 최근 인스타그램에 도입된 체크아웃(Checkout) 기능의 검사를 요청했다고 발표하기도 했다. 체크아웃은 인스타그램이나 인스타그램 앱에 나온 광고를 구매하려고 할 때 곧장 결제와 지불을 할 수 있게 해주는 기능으로 보안 구멍이 발견될 시 큰 문제가 될 수 있다.
초대된 보안 전문가들은 인스타그램 체크아웃 기능에 대한 특수한 접근 권한을 가지게 될 것이며, 새로운 버그를 찾아낼 때마다 사안에 따라 상금을 받게 될 것이라고 한다. 이번에 초대된 전문가들은 이전부터 페이스북에서 중대한 취약점들을 찾아내 왔던 단골 손님들이라고 한다.
페이스북은 올해 초 새로운 디자인인 FB5를 발표할 때도 비슷한 버그바운티 프로그램을 진행한 바 있다. 당시 초대를 받았던 전문가 중 한 명은 FB5에서 보안 문제를 하나 발견했었다. 공격자가 원격에서 특정 개인의 프로파일 사진을 지울 수 있게 해주는 취약점이었다. 해당 전문가가 어느 수준의 상금을 받았는지는 알려져 있지 않다.
“버그바운티는 보안과 관련된 여러 가지 문제를 빨리 파악하게 해주고, 보안 업계나 공격자들 사이에 형성되어 있는 트렌드를 익히도록 해줍니다. 덕분에 저희가 가진 플랫폼들이 안전하게 유지될 수 있는 것이죠. 각 전문가들이 보내주는 보고서는 피드백 형태로 내부 보안 전략에 흡수되고, 저희는 더 빠르고 단단한 플랫폼이 되어갑니다.” 페이스북 측의 설명이다.
현재까지 페이스북은 버그바운티 참여자들에게 총 750만 달러를 지급했다고 한다. “저희는 외부 전문가들과 함께 호흡을 맞추며 내부 보안 수준을 강화하여 사용자들을 안전하게 보호한다는 책임을 가지고 보안 관련 프로그램을 진행하고 있습니다.”
3줄 요약
1. 페이스북, 플랫폼 내 데이터 남용 사례 발견하는 사람에게 상금 주는 프로그램 확대함.
2. 페이스북만 아니라 인스타그램 플랫폼으로까지 확대됨. 다만 상금 규모는 아직 미발표.
3. 그 외에도 지불과 관련된 체크아웃 기능 곧 출시될 예정. 현재는 보안 검사 중.
[국제부 문가용 기자(globoan@boannews.com)]
<저작권자: 보안뉴스(www.boannews.com) 무단전재-재배포금지>
.jpg)
.jpg)
.jpg)
.jpg){kind=small}
.jpg){kind=small}
.jpg){kind=small}
.jpg){kind=small}
.jpg){kind=small}
.jpg){kind=small}
.jpg){kind=small}
.jpg){kind=small}
.jpg){kind=small}
.jpg){kind=small}
.jpg){kind=small}
.jpg){kind=small}
.jpg){kind=small}
.JPG){kind=small}
.jpg)