구글, 버그바운티 선진화의 신호탄을 쏘다

지난해 구글은 ‘버그바운티’로 총 150만 달러 보상

구글, 선진화된 취약점 보상제도로 스마트폰 앱 성장 기대

[보안뉴스 주소형] 구글이 ‘버그바운티’ 선진화를 시도한다. 지난해 구글의 버그바운티 관련 내역을 발표하면서 새로운 제도를 공표한 것.

구글은 자사 소프트웨어 및 웹서비스 관련 취약점을 발견한 보안 전문가들에게 지난 한 해 동안 총 150만 달러를 보상했다고 밝혔다. ‘보안 강화 보상 프로그램(Security Reward Programs)’ 발표를 하면서 드러난 사항인데 그 안에 취약점 보상에 대한 구체적인 내용을 담고 있었던 것이다. 지난해 취약점 발견 분야 최고액 보상 수령자는 조지 호츠(George Hotz)라는 인물로 나타났다. 구글 크롬(Chrome) 실행을 방해하는 취약점을 찾아낸 것. 그는 이에 대해 구글로부터 15만 달러를 보상받고, 프로젝트 제로(Project Zero)팀의 인턴 자격으로 구글에 합류하게 됐다.

지난해 구글의 버그바운티(Bug Bounty) 실적을 살펴보면, 200여명의 보안 전문가들이 총 500개 이상의 취약점을 찾아냈다. 구글 에두아르도 벨라 네바(Eduardo Vela Nava) 보안 엔지니어는 “지난해 버그바운티로 실효성을 거뒀다. 버그바운티로 찾아낸 취약점 반 이상이 크롬 베타 버전 향상 등 보안 강화에 큰 보탬이 됐기 때문이다. 덕분에 사용자들의 불편을 미연에 방지할 수 있었다”고 말했다.

따라서 올해 구글의 버그바운티 영역을 모바일 앱(App)까지 확장했다. 현재 구글 플레이(Google Play)와 아이튠즈(iTunes)에 있는 구글이 개발한 모바일 앱들도 취약점 보상 프로그램의 테두리 안에 들어왔다.

구글은 버그바운티 영역 확대와 더불어 대대적인 실험 프로그램도 단행했다. 보다 질 높은 취약점 발견을 견인하기 위해 사전 투자를 하겠다는 것. “이러한 선행 보상제도는 스폰의 개념으로 이해하면 될 것”이라고 벨라 네바는 설명했다.

이번 구글의 선행 보상제도의 경우, 구글이 원하는 결과를 더욱 구체적으로 제시하고 최고 3,133달러 70센트 범위 내에서 보상금을 먼저 지급하는 형태다. 벨라 네바 엔지니어는 “우리는 버그 바운티 헌터들이 연구를 시작하기 직전에 아무 조건 없이 보상금을 먼저 지급할 계획이다. 돈을 먼저 받고 예전과 똑같이 연구에 임해주면 된다”고 설명했다.

한편, 구글 뿐 아니라 트위터(Twitter), 핀터레스트(Pinterest), 블랙폰/사일런트 써클(Blackphone/Silent Circle), 라이엇 게임즈(Riot Games) 등과 같은 세계적인 기업들도 버그바운티 확대를 추진 중인 것으로 파악됐다.

@DARKReading

[국제부 주소형 기자(sochu@boannews.com)]

내년 회사에 꼭 도입하고 싶은 보안 솔루션 또는 플랫폼은 무엇인가요?
	XDR
	EDR
	AI 보안
	제로트러스트
	공급망 보안 체계(SBOM)
	클라우드 보안 솔루션
	기타(댓글로)