.gif)
독자적으로 버그바운티를 진행하는 구글이 작년 한 해 동안 662명의 외부 보안 전문가들에게 총 670만 달러의 상금을 지급했다. 특히 상금을 크게 올렸던 크롬과 안드로이드 부분에서 많은 전문가들이 활약을 펼쳤다고 한다.
[보안뉴스 문가용 기자] 구글이 지난 해 보안 전문가들에게 670만 달러의 상금을 수여했다고 발표했다. 구글이 2010년부터 취약점 연구 프로그램(Vulnerability Research Program, VRP)을 시작한 이래 기록된 가장 높은 액수다. 2019년 구글이 버그바운티 상금으로 지출한 금액은 340만 달러였다. 670만 달러의 상금 중 1/3은 크롬에서 취약점을 발견한 연구원들에게 돌아갔다(약 210만 달러).
[이미지 = utoimage]
구글은 2019년부터 크롬 취약점 연구에 집중하기로 결정하며 이 부분에 대한 상금을 높이겠다고 발표한 바 있다. 그 해 7월 크롬 버그바운티 최대 상금을 5천 달러에서 1만 5천 달러로 세 배 인상했다. 또한 익스플로잇에 대한 고급 보고서의 최대 상금을 1만 5천 달러에서 3만 달러로 높이기도 했다.
안드로이드 부문에 대한 버그바운티도 상금이 상승했었고, 그래서 구글은 작년 한 해 동안 이 부분에서만 174만 달러를 상금으로 지출했다. 이 가격으로 총 13개의 익스플로잇을 받을 수 있었다. 그 중에는 한 번의 클릭만 유도하면 원격에서 안드로이드 장비를 침해할 수 있게 해 주는 취약점도 포함되어 있었다. 그 외에도 구글 플레이 스토어와 V8에서 취약점을 발견한 연구원들도 상금을 받았다.
취약점 외에 ‘남용 위험성’을 발견한 연구원들에게도 상금이 주어졌다. 예를 들어 가짜 평점과 리뷰를 특정 앱이나 장소에 충분한 숫자로 남기면 구글 맵스에 이것이 반영되는데, 이런 부분에 대한 상세 보고서도 작년 해에 접수해 적절한 보상을 제공했다고 한다. 2020년 한 해 동안 제출된 ‘남용 위험성’ 보고서는 전년도에 비해 2배 늘어났으며, 약 100가지의 남용 이슈를 처리할 수 있었다고 한다.
2020년 동안 구글과 이런 식으로 관계를 맺은 보안 전문가들은 62개국의 662명이라고 한다. 가장 높은 단일 상금은 13만 2500달러였다.
구글의 버그바운티 프로그램은 다른 회사나 기관, 버그바운티 전용 플랫폼들에서 하나 둘 런칭하기 시작한 버그바운티 프로그램과 크게 다르지 않다. 외부 전문가들이 구글이 정해준 양식에 맞춰서 버그를 찾아내면 그에 상응하는 대가를 회사가 돈으로 지불하는 것이다. 취약점을 찾아내고 서비스 및 상품의 보안을 강화하는 데 있어 가격 효율이 좋은 방법으로 알려져 있다.
보안 전문가들 사이에서는 버그바운티 프로그램이 대체적으로 긍정적인 평가를 받고 있다. 독립적으로 취약점과 시스템에 대한 연구도 할 수 있으면서, 금전적 보상을 받을 수 있는 기회가 되기 때문이다. 또한 이런 제도가 있기 때문에 합법적이고 책임감 있는 취약점 보고 문화가 업계에 정착할 수 있다고 보는 시각도 있다. 버그바운티 시장이 없다면, 취약점 연구 전문가들이 연구 결과로 보상받을 수 있는 곳은 다크웹뿐이다.
버그바운티를 운영하는 기업과 기관들은 점점 늘어나는 추세다. 페이팔(PayPal)의 경우 작년 755개의 취약점 보고서를 접수하고 총 280만 달러의 상금을 지출했다. 우버는 5년 동안 1466개의 취약점 보고서를 받고 210만 달러를 지불했다. 트위터, 깃랩, 인텔과 같은 기업들도 해커원과 같은 버그바운티 전문 플랫폼과 협업하고 있고, 인색하기로 유명했던 애플도 최근 버그바운티를 확대했다. 미국에서는 연방 정부 기관들도 공개 버그바운티를 운영한다.
3줄 요약
1. 버그바운티 상금 높인 구글, 작년 670만 달러를 상금으로 지출.
2. 62개국의 보안 전문가 662명이 이 프로그램에 참가해 구글로부터 상금을 지급 받음.
3. 버그바운티는 현재 여러 기업과 기관들이 도입 및 확대하고 있는 중.
[국제부 문가용 기자(globoan@boannews.com)]
[보안뉴스 문가용 기자] 구글이 지난 해 보안 전문가들에게 670만 달러의 상금을 수여했다고 발표했다. 구글이 2010년부터 취약점 연구 프로그램(Vulnerability Research Program, VRP)을 시작한 이래 기록된 가장 높은 액수다. 2019년 구글이 버그바운티 상금으로 지출한 금액은 340만 달러였다. 670만 달러의 상금 중 1/3은 크롬에서 취약점을 발견한 연구원들에게 돌아갔다(약 210만 달러).
[이미지 = utoimage]
구글은 2019년부터 크롬 취약점 연구에 집중하기로 결정하며 이 부분에 대한 상금을 높이겠다고 발표한 바 있다. 그 해 7월 크롬 버그바운티 최대 상금을 5천 달러에서 1만 5천 달러로 세 배 인상했다. 또한 익스플로잇에 대한 고급 보고서의 최대 상금을 1만 5천 달러에서 3만 달러로 높이기도 했다.
안드로이드 부문에 대한 버그바운티도 상금이 상승했었고, 그래서 구글은 작년 한 해 동안 이 부분에서만 174만 달러를 상금으로 지출했다. 이 가격으로 총 13개의 익스플로잇을 받을 수 있었다. 그 중에는 한 번의 클릭만 유도하면 원격에서 안드로이드 장비를 침해할 수 있게 해 주는 취약점도 포함되어 있었다. 그 외에도 구글 플레이 스토어와 V8에서 취약점을 발견한 연구원들도 상금을 받았다.
취약점 외에 ‘남용 위험성’을 발견한 연구원들에게도 상금이 주어졌다. 예를 들어 가짜 평점과 리뷰를 특정 앱이나 장소에 충분한 숫자로 남기면 구글 맵스에 이것이 반영되는데, 이런 부분에 대한 상세 보고서도 작년 해에 접수해 적절한 보상을 제공했다고 한다. 2020년 한 해 동안 제출된 ‘남용 위험성’ 보고서는 전년도에 비해 2배 늘어났으며, 약 100가지의 남용 이슈를 처리할 수 있었다고 한다.
2020년 동안 구글과 이런 식으로 관계를 맺은 보안 전문가들은 62개국의 662명이라고 한다. 가장 높은 단일 상금은 13만 2500달러였다.
구글의 버그바운티 프로그램은 다른 회사나 기관, 버그바운티 전용 플랫폼들에서 하나 둘 런칭하기 시작한 버그바운티 프로그램과 크게 다르지 않다. 외부 전문가들이 구글이 정해준 양식에 맞춰서 버그를 찾아내면 그에 상응하는 대가를 회사가 돈으로 지불하는 것이다. 취약점을 찾아내고 서비스 및 상품의 보안을 강화하는 데 있어 가격 효율이 좋은 방법으로 알려져 있다.
보안 전문가들 사이에서는 버그바운티 프로그램이 대체적으로 긍정적인 평가를 받고 있다. 독립적으로 취약점과 시스템에 대한 연구도 할 수 있으면서, 금전적 보상을 받을 수 있는 기회가 되기 때문이다. 또한 이런 제도가 있기 때문에 합법적이고 책임감 있는 취약점 보고 문화가 업계에 정착할 수 있다고 보는 시각도 있다. 버그바운티 시장이 없다면, 취약점 연구 전문가들이 연구 결과로 보상받을 수 있는 곳은 다크웹뿐이다.
버그바운티를 운영하는 기업과 기관들은 점점 늘어나는 추세다. 페이팔(PayPal)의 경우 작년 755개의 취약점 보고서를 접수하고 총 280만 달러의 상금을 지출했다. 우버는 5년 동안 1466개의 취약점 보고서를 받고 210만 달러를 지불했다. 트위터, 깃랩, 인텔과 같은 기업들도 해커원과 같은 버그바운티 전문 플랫폼과 협업하고 있고, 인색하기로 유명했던 애플도 최근 버그바운티를 확대했다. 미국에서는 연방 정부 기관들도 공개 버그바운티를 운영한다.
3줄 요약
1. 버그바운티 상금 높인 구글, 작년 670만 달러를 상금으로 지출.
2. 62개국의 보안 전문가 662명이 이 프로그램에 참가해 구글로부터 상금을 지급 받음.
3. 버그바운티는 현재 여러 기업과 기관들이 도입 및 확대하고 있는 중.
[국제부 문가용 기자(globoan@boannews.com)]
<저작권자: 보안뉴스(www.boannews.com) 무단전재-재배포금지>
.jpg)
.jpg){kind=small}
.jpg){kind=small}
.jpg){kind=small}
.jpg){kind=small}
.jpg){kind=small}
.JPG){kind=small}
.jpg){kind=small}
.jpg){kind=small}
.jpg){kind=small}
.jpg){kind=small}
.jpg){kind=small}
