줌, 지난 한 해 버그바운티로 180만 달러 지급

2019년부터 해커원(HackerOne) 플랫폼에서 초청으로만 진행되는 비공개 버그바운티 프로그램 운영

[보안뉴스 원병철 기자] 줌(Zoom Video Communications)이 2019년 버그바운티 프로그램을 시작한 이래 버그 리포트에 대한 보상으로 미화 240만 달러(한화 약 29억 2,000만원)가 넘는 상금과 선물을 지불했다고 밝혔다. 특히 줌은 2021년 401개 리포트에 대한 보상으로 미화 180만 달러(한화 약 21억 9,000만원) 이상을 투자했다. 미화 50만 달러 이하였던 2019년과 2020년과 비교하면 금액을 3배 이상 늘린 것이다.

▲줌 버그바운티 프로그램[자료=줌]

줌은 자체적으로도 솔루션과 인프라를 매일 테스트하지만 테스트를 증강시키기 위해 윤리적 해커 커뮤니티와의 협력이 중요함을 인지하고 있다. 특정한 사용사례와 환경에서만 감지되는 엣지-케이스 취약점을 식별할 수 있기 때문이다. 줌은 2019년부터 해커원(HackerOne) 플랫폼에서 초청으로만 진행되는 비공개 버그바운티 프로그램을 운영해왔고, 이렇게 모집한 보안 연구가(리서처)만 800명이 넘는다.

줌 보안 엔지니어 리드 로이 데이비스(Roy Davis)는 “가상 커뮤니케이션 안전은 줌의 최우선순위다. 수백 명의 줌 보안 엔지니어가 메시지 및 회의의 기밀성과 무결성, 줌 글로벌 인프라의 가용성과 안정성을 위해 노력하고 있다”며, “줌은 한 걸음 앞서 줌 사용자와 인프라를 위협으로부터 보호하기 위해 비공개 버그바운티 프로그램을 운영하며 숙련된 전 세계 보안 연구가에 투자하고 있다”고 설명했다.

줌은 최우수 보안 전문가를 프로그램에 초대하기 위해 △허용하는 테스트 유형, ‘세이프 하버(Safe Horbor)’ 정책 세부사항, 취약점 보고서별 바운티 보상 예상 범위 등을 명확하고 간결한 프로그램 정책으로 설명하고, △공격 표면 범위, 즉 버그바운티 프로그램 영역을 꾸준히 넓히면서 영역 외 항목과 통제영역을 분명히 정의한다. 또한, △프로그램 응답, 조치(remediation), 보상 시간을 최소화함으로써 윤리적 해커들의 노력에 즉각적으로 응답하고, △버그바운티 프로그램을 관리하는 줌 담당자와 해커가 서로 전문가로서 관계를 형성하도록 지원하며, △전문가의 노력 그리고 취약점이 실제로 악용됐다면 발생했을 영향에 상응하는 경쟁력 있는 보상을 제공한다.

줌은 버그바운티 프로그램을 발전시키기 위해 지난 해 단일 버그 리포트에 대한 보상 상한선을 미화 5만 불(한화 약 6,000만원), 하한선을 미화 250불(한화 약 30만원)로 조정하고, 모두에게 열린 공개 VDP(Vulnerability Disclosure Program)를 시작하기도 했다. 10월에는 VIP 버그바운티 프로그램을 출시해 보안 테스트 영역을 줌 솔루션의 라이선스 버전으로 확장했다. 줌 취약점 관리 및 버그바운티(Vulnerability Management and Bug Bounty; VMBB) 팀은 한 해 동안 초기 응답, 분류, 조치, 보상 제공 시간을 줄이는 데 집중했고, 그 결과 최근에는 평균 4시간 이내 초기 응답을 전송하고 보통 48시간 이내 접수된 리포트에 대한 전체 분류를 완료하는 것으로 확인됐다. VMBB 팀은 매주 보상을 논의 및 검토하며 통상 리포트 접수로부터 14일 내에 지급을 완료한다. 줌은 보안 전문가들과 지속적인 관계를 형성하기 위해 전 세계 전문가들과 줌 회의를 갖기도 한다.
[원병철 기자(boanone@boannews.com)]

내년 회사에 꼭 도입하고 싶은 보안 솔루션 또는 플랫폼은 무엇인가요?
	XDR
	EDR
	AI 보안
	제로트러스트
	공급망 보안 체계(SBOM)
	클라우드 보안 솔루션
	기타(댓글로)