세계 보안 엑스포  전자정부 솔루션 페어  개인정보보호 페어  국제 사이버 시큐리티 컨퍼런스  세계 태양에너지 엑스포  스마트팩토리  세계 다이어트 엑스포  INFO-CON
맥 빠지는 포상금... 애플 버그바운티 1년간 한 건도 보고 안 돼
  |  입력 : 2017-07-11 09:56
페이스북 보내기 트위터 보내기 네이버 밴드 보내기 카카오 스토리 보내기
애플 버그바운티 시작 1년 다 돼가지만 보고된 취약점은 단 한 건도 없어
애플 포상금 최대 20만 달러지만 타 업체에 팔면 150만 달러까지 받아


[보안뉴스 오다인 기자] 애플 버그바운티 1년간 단 한 건의 취약점 보고도 없었던 것은 애플이 너무 완벽하기 때문은 아니었던 것 같다. 애플에 알리는 것보다 타 업체에 파는 편이 훨씬 더 높은 값을 받을 수 있었기 때문으로 보인다. 한 마디로 애플 포상금이 너무 짜다는 거다.

[이미지=iclickart]


애플은 작년 8월 블랙햇 행사에서 자사가 마침내 버그바운티 프로그램을 시작한다며 대대적으로 홍보한 바 있다. 당시 무대에 선 애플의 보안 책임자 이반 크르스틱(Ivan Krstic)은 “애플 제품에서 취약점을 찾아내는 연구자에게 최대 20만 달러(약 2억 원)의 현금을 포상하겠다”고 밝혔다. 애플 버그바운티는 애플이 초청한 연구자만 참여하는 비공개 모임으로 운영돼왔으며, 출범한 지 거의 1년이 됐지만 아직까지 단 한 건의 버그도 보고되지 않았다.

버그바운티는 보안 취약점을 뜻하는 ‘버그(bug)’와 포상금을 의미하는 ‘바운티(bounty)’를 합성한 용어로, 대개 IT 기업의 제품을 해킹해 취약점을 찾아내면 포상하는 제도를 말한다. 블랙 햇 해커에게 취약점이 발견돼 큰 피해나 손실이 발생하기 전에 화이트 햇 해커에게 적절한 보상을 주고 미리 취약점을 찾아 보완하려는 취지다.

애플 버그바운티의 문제는 아이폰 보안이 견고한 만큼 관련 취약점의 가격도 치솟는다는 점이다. 애플 버그바운티 포상금이 최대 20만 달러인 데 비해 취약점을 사들이는 제로디움(Zerodium) 같은 업체는 아이폰 취약점에 대해 150만 달러까지 지불하고 있는 것으로 나타났다. 아이폰 제조업체인 애플에 비해 타사가 7배에서 8배까지 높게 보상하는 셈이다.

미국의 IT 전문매체 마더보드(Motherboard)는 애플 버그바운티 연구자 10명을 인터뷰한 결과, 이들이 취약점을 “애플에 알리려니 너무 가치가 큰 데다 알리면 (해당 취약점에 대해) 추가적인 연구가 불가할 것이므로” 사실상 취약점을 찾고도 보고하지 않는 것으로 보인다고 보도했다.

모바일 보안 전문업체 짐페리움의 연구자 니키아스 바센(Nikias Bassen)은 “오직 돈이 목적이라면 취약점을 애플에 바로 알려주진 않을 것”이라고 마더보드에 말했다. 전직 NSA 해커이자 애플 버그바운티에 초청된 패트릭 워들(Patrick Wardle) 역시 “iOS 취약점은 애플에 보고하긴 너무 아깝다”고 지적했다.

한편, 애플 버그바운티 연구자들이 취약점을 보고하고 있으나 애플의 내부 정책 때문에 외부로 발표된 바 없을 뿐이라는 의견도 나온다. 보고된 취약점을 완벽히 고치기 전에는 공개적으로 밝히면 안 된다는 애플의 합의서에 연구자들이 서명했다는 것이다.
[국제부 오다인 기자(boan2@boannews.com)]

<저작권자: 보안뉴스(www.boannews.com) 무단전재-재배포금지>



2017년 상반기, 가장 충격적인 보안 사건·사고는 무엇이었나요?
사드 배치 보복 차원 중국 해커들의 사이버공격
국내 웹사이트 타깃 동남아 해커들의 무차별 디페이스 공격
전 세계를 휩쓴 워너크라이 랜섬웨어 사태
웹호스팅 업체 인터넷나야나 타깃으로 한 랜섬웨어 공격
페트야 랜섬웨어 사태(랜섬웨어 공격으로 위장한 러시아의 사이버전)
대선 전후 정보탈취 위한 북한의 사이버전
비트코인 등 가상화폐 열풍과 가상화폐 거래소 계정 해킹 사건
금융권 타깃으로 한 디도스 공격 협박 사건
기타(댓글로)