세계 보안 엑스포  전자정부 솔루션 페어  개인정보보호 페어  국제 사이버 시큐리티 컨퍼런스  세계 태양에너지 엑스포  스마트팩토리  세계 다이어트 엑스포  INFO-CON
Home > 전체기사
구글, 작년 전 세계 보안 전문가들에 290만 달러 지급
  |  입력 : 2018-02-12 09:41
페이스북 보내기 트위터 보내기 네이버 밴드 보내기 카카오 스토리 보내기
다양한 버그바운티 프로그램 운영...현재 총 1천 2백만 달러 상금 지출
원격 코드 실행에 가장 큰 상금 수여...가장 큰 개인 상금은 11만 2천 달러


[보안뉴스 문가용 기자] 2017년 한 해 동안 구글은 총 2백 9십만 달러를 취약점 보상 프로그램으로 지출했다. 일종의 버그바운티로, 구글은 ‘구글 취약점 보상 프로그램(Google Vulnerability Reward Program)’이라는 것을 2010년부터 실시해 왔고, 여태까지 총 1천 2백만 달러를 보안 전문가들에게 투자했다.

[이미지=iclickart]


구글의 제품과 서비스에서 발견된 취약점에는 총 1백만 달러가 상금으로 나갔고, 1백 1십만 달러는 안드로이드에서 발견된 버그 발견자들에게 할당됐다. 구글은 총 1230건의 버그에 대해 상금을 수여했으며, 약 274명의 보안 전문가들이 올 한 해 버그바운티 프로그램에 참여했다고 발표했다.

또한 구글은 또 다른 보상 프로그램인 ‘취약점 연구 양여금(Vulnerability Research Grants)’을 통해 50명이 넘는 보안 전문가들에게 각각 12만 5천 달러의 상금을 수여하기도 했다. 취약점 연구 양여금 프로그램은 구글 취약점 보상 프로그램과 상호보완적인 특징을 갖는 ‘버그바운티’의 일종으로, 구글에서 출시한 여러 제품과 서비스들에서 취약점을 찾아내도록 특정 연구자들을 초대하는 방식으로 진행한다. 특이한 건 취약점을 찾아내지 못해도 약속된 금액이 지불된다는 것이다.

이것만이 아니라 구글은 2013년부터 시작한 패치 보상 프로그램(Patch Rewards Program)을 통해서도 5만 달러라는 작지 않은 금액을 전문가들에게 지불했다. 패치 보상 프로그램은 오픈소스 프로젝트의 보안을 능동적으로 향상시킨 사람들에게 상금을 수여한다.

작년 한 해 동안 구글이 한 개인에게 수여한 가장 큰 금액은 11만 2천 5백 달러이다. 안드로이드의 오류에 대한 상금이었으며, 역대 안드로이드 취약점 발견에 대한 보상액 중 가장 큰 규모이기도 했다. 주인공은 보안 업체 치후 360(Qihoo 360)의 연구원인 구앙 공(Guang Gong)이란 인물이다. 안드로이드에서 원격 익스플로잇 체인을 발견했다.

이 익스플로잇 체인이란 두 가지 버그로 이루어진 취약점인데, 하나는 CVE-2017-5116으로 V8 엔진에서 발견된 버그다. 이 버그를 통해 샌드박스 된 크롬 렌더 프로세스에서 원격 코드를 실행할 수 있게 된다. 다른 하나는 CVE-2017-14904로 안드로이드의 libgralloc 모듈에서 발견된 것이다. 이 둘을 합치면 공격자가 system_server로 임의의 코드를 주입할 수 있게 된다.

gzobqq라는 보안 연구원도 특이할 만하다. 10만 달러를 챙긴 전문가로 크롬 OS의 게스트 모드에서 원격 코드 실행에 성공했다. 알렉스 버산(Alex Birsan)이란 전문가는 구글 내부에서만 사용하는 구글 이슈 트래커(Google Issue Tracker)의 데이터에 아무나 접근할 수 있도록 해주는 버그를 발견해서 1만 5천 6백 달러를 받았다.

구글은 원격 익스플로잇에 관하여 가장 큰 상금을 지불한다. 트러스트존(TrustZone)이나 베리파이드 부트(Verified Boot)와 관련된 오류에도 마찬가지로 큰 상금을 책정하고 있다. 작게는 5만 달러에서 많게는 20만 달러에까지 이른다. 원격 커널 익스플로잇에 대한 상금 역시 3만 달러에서 15만 달러까지다. 그 밖에 원격 코드 실행과 관련된 자잘한 버그들 역시 1천 달러에서 5천 달러까지다.
[국제부 문가용 기자(globoan@boannews.com)]

Copyrighted 2015. UBM-Tech. 117153:0515BC
<저작권자: 보안뉴스(www.boannews.com) 무단전재-재배포금지>

  •  
  • 4
  • 페이스북 보내기 트위터 보내기 네이버 밴드 보내기 카카오 스토리 보내기


  •  SNS에서도 보안뉴스를 받아보세요!! 
모니터랩 파워비즈 배너 시작 18년9월12일위즈디엔에스 2018WD 파워비즈 2017-0305 시작파워비즈배너 시작 11월6일 20181105-20200131
설문조사
2019년은 4차 산업혁명을 이끌 보안기술들이 본격적으로 상품화될 것으로 기대되고 있습니다. 2019년에 선보이는 다양한 보안기술 중에서 어떤 기술이 가장 주목을 받을 것이라고 생각하시나요?
실시간 위협탐지·대응 기술 EDR
빅데이터 기반의 인공지능(AI) 보안기술
음성인식·행동인식 등 차세대 생체인식기술
차세대 인터넷, 블록체인 기반 보안기술
보안위협 분석 위한 인텔리전스 보안기술
대세는 클라우드, 클라우드 기반 보안기술
IoT 기기를 위한 경량화 보안기술
IP 카메라 해킹 대응 개인영상 정보보호 기술