You also want an ePaper? Increase the reach of your titles
YUMPU automatically turns print PDFs into web optimized ePapers that Google loves.
▣ 개요페이스북, 버그 발견자들에게 총 100만 달러 지급○ 페이스북(Facebook)은 지난 2011년부터 사용자를 통해 서비스 취약점을 발견하고 이를 통해 자사 서비스 보안 수준을 대폭 개선하기 위한 목적으로 ‘버그 현상금 프로그램(Bug bounty program)’을 운영- 현상금 지급 액수는 발견된 오류가 서비스에 미치는 영향, 오류 보고의 정확성, 서비스와의 직접적인 연관성,해당 오류로 인한 파생적 피해 가능성 등을 기준으로 차별화- 현상금의 상한액 기준은 존재하지 않으며 건 당 최소 500달러(약 56만 원) 이상의 현상금이 버그 발견자에게지급▣ 주요 내용○ 페이스북은 지난 2년간 버그 현상금 프로그램 운영을 통해 총 329명에게 100만 달러(약 11억 원)의 현상금을 지급했다고 발표(’13.8.2)- 이들 329명의 사용자들은 전 세계 51개국에 분포되어 있으며, 현상금 수령자의 20%만이 미국 내 거주자인것으로 확인- 현상금 수령자가 가장 많은 상위 5개 국가는 미국, 인도, 영국, 터키, 독일인 것으로 나타났으며, 수령자 수가 가장 빠르게 증가한 상위 10개 국가는 미국, 인도, 터키, 이스라엘, 캐나다, 독일, 파키스탄, 이집트, 브라질, 스웨덴인 것으로 확인- 가장 높은 현상금 액수는 2만 달러(약 2,300만 원)인 것으로 나타났으며, 버그 현상금 프로그램을 통해 최대10만 달러(약 1억 원)의 수익을 올린 단일 참여자도 존재- 최연소 현상금 수령자의 나이는 13세인 것으로 나타났으며, 포상금 수령자 중 2명은 페이스북의 보안 팀 직원인 것으로 확인○ IT 업계, 버그 현상금 프로그램 운영 확산 추세- 페이스북을 비롯한 IT 업계 내 주요 사업자들 역시 버그 현상금 프로그램을 도입하거나 이미 도입- 마이크로소프트(Microsoft)는 지난 6월 자사 OS인 윈도우(Windows) 최신 버전의 취약점을 발견해내는 사람이라면 누구에게나 최대 10만 달러(약 1억 원)까지 현상금을 지급하겠다고 발표- 백신 업체 어베스트(Avast) 역시 2013년 1월부터 자사 소프트웨어의 보안 취약점을 발견한 사용자에 보안위협 정도에 따라 최소 200달러(약 22만 원)에서 최대 5,000달러(약 560만 원) 이상을 지급○ IT 업계 내 ‘버그 현상금 제도’ 도입이 가속화됨에 따라 버그 현상금 프로그램 관련 서비스를 제공하는 사업자까지 등장- 버그크라우드(Bugcrowd), 버그울프(Bugwolf) 등과 같은 사업자들은 버그 접수부터 현상금 지급까지 일체의 과정을 관리해주는 버그 현상금 프로그램을 구축·제공○ IT 업계 내 버그 현상금 프로그램 도입 붐이 일고 있는 이유는 일반적인 보안 정책 대비비용 면에서 훨씬 효율적이기 때문- 미국 캘리포니아 대학은 현재 구글과 모질라(Mozilla)가 운영 중인 버그 현상금 프로그램을 대상으로 연구를 실시하고, 그 결과를 ‘취약성 보상금 제도에 대한 실증적 연구(An Empirical Study of VulnerabilityReward Programs)’란 보고서를 통해 발표(‘13.1.10)- 해당 보고서에 따르면 2009년부터 3년간 구글은 자사 웹브라우저 ‘크롬 (Chrome)’에 대한 버그 현상금 제도를 통해 약 58만 달러(약 6억 5,000만 원)를 지불하고, 총 501개의 취약점을 발견- 모질라 역시 자사 웹 브라우저인 파이어폭스(FireFox)에 대한 버그 현상금 프로그램을 통해 총 190개의 취약점에 대한 약 57만 달러(약 6억 4,000만 원)의 현상금을 지급- 캘리포니아 대학의 연구진은 구글과 모질라가 보상금 제도를 통해 발견된 동일한 수의 취약점을 찾기 위해 보안 전문가를 고용할 경우, 관련 비용이 최대 100배 이상 증가할 것으로 추정○ 버그 현상금 프로그램 제공 사업자 버그크라우드 역시 비용 면에서 자사 보안 상품이강점을 보유하고 있다고 설명II. 인터넷 보안 동향○ 페이스북의 콜린 그린(Collin Greene) 보안 엔지니어는 자사의 버그 현상금 프로그램이기대 이상의 성과를 거두고 있다고 자평- 버그 현상금 프로그램을 통해 다양한 배경과 지역적인 특성을 지닌 사용자들의 관점 및 재능이 발휘되어 페이스북의 서비스가 개선되었다는 것- 한편, 페이스북은 버그 현상금 프로그램을 지속적으로 확대해 나갈 것이라고 밝혔으나, 구체적인 내용은 아직공개하지 않은 상황- 버그크라우드의 케이시 엘리스(Casey Ellis) CEO는 버그 현상금 프로그램이 모의 침투 테스트를 시행하거나 컨설턴트의 조언을 받는 것 보다 비용 면에서 훨씬 저렴하다고 지적- 현재까지 자사 프로그램의 이용 추이를 살펴볼 때 동일 비용 기준 여타 보안 프로그램 대비 버그 현상금 프로그램이 최대 5배 정도 많은 보안 취약점을 발견할 수 있었다고 부연해 설명56 월간 「<strong>Cyber</strong> <strong>Security</strong> <strong>Issue</strong>」 8월 동향 II. 인터넷 보안 동향 57
Change language