일부 버그바운티의 독특한 ‘기부 정책’ 잘 활용하는 보안 기업

코드에서 오류와 위험한 취약점 발견하는 데 특화된 보안 기업, 세믈
올해 발견한 취약점들에 대한 상금, 두 배로 늘려 자선 단체들에 기부

[보안뉴스 문가용 기자] 구글이 크롬의 샌드박스를 탈출할 수 있게 해주는 취약점들을 발견한 보안 전문가들에게 총 4만 달러의 상금을 지급하기로 결정했다.

[이미지 = iclickart]

구글은 지난 주 크롬 77의 업데이트 버전인 크롬 77.0.3856.90을 발표했다. 네 가지 취약점이 해결된 버전이었다.
1) 칼릴 자니(Khalil Zhani)가 발견하고 보고한 UI 내 UaF 취약점
2) 미디어 요소에서 발견된 고위험군 UaF 취약점 두 개
3) 브렌든 티스카(Brendon Tiszka)가 오프라인 페이지에서 발견한 고위험군 UaF 취약점

아직 자니와 티스카에 대한 보상 금액은 결정되지 않은 상태다. 그러나 2)번 미디어 요소의 취약점 두 개는 각각 2만 달러의 상금이 결정됐다. 이 두 개는 CVE-2019-13688과 CVE-2019-13687로 보안 업체 세믈 시큐리티(Semmle Security)의 만 유에 모(Man Yue Mo)라는 전문가가 발견했다고 한다.

모에 의하면 이 두 가지 취약점들은 “단독적으로 익스플로잇 되었을 때 공격자들에게 그다지 쓸모 있는 건 아니”라고 한다. “다른 취약점들과 함께 사용되었을 때 위력을 발휘할 수 있습니다.” 모의 설명이다.

“이 두 가지 취약점들을 익스플로잇 하려면 이미 침해가 된 렌더러가 필요합니다. 익스플로잇 후에는 크롬의 샌드박스를 탈출할 수 있게 해주고요. 즉 다른 취약점에 대한 익스플로잇이 필수로 진행되고 나서, 이 취약점 두 가지로 샌드박스를 탈출하고, 그런 후에 코드를 실행할 수 있다는 겁니다. 그렇다 해도 위험성이 낮은 건 아닙니다.”

한편 세믈과 모는 상금을 수령하지 않을 계획이다. “구글에 취약점을 알리면서 4만 달러를 사회 활동가나 자선 단체 등에 기부해달라고 요청했습니다. 구글은 보안 전문가가 보상금을 직접 수령하지 않고 기부를 요청할 때 보상금을 두 배로 늘린다는 정책을 가지고 있습니다.”

세믈은 최근 페이스북에서도 DoS 취약점을 발견해 1만 달러의 상금을 탄 바 있다. 이 취약점은 페이스북의 피즈 씬(Fizz TLS) 라이브러리에서 발견됐다. 세믈은 이 상금 역시 다른 자선 단체에 기부했다. 페이스북 역시 상금을 두 배로 늘려 세믈의 기부 요청을 실행에 옮겼다.

이 외에도 세믈은 작년 아파치 스트러츠 2(Apach Struts 2)라는 오픈소스 개발 프레임워크에서 치명적인 위험도를 가진 원격 코드 실행 취약점을 발견한 것으로도 알려져 있다.

세믈은 2018년 8월 2100만 달러의 투자를 받고 본격적인 글로벌 업체로 발돋움하기 시작했다. 코딩 오류나 취약점을 찾는 데 특화되어 있고, 굉장히 위험한 취약점들을 발견하는 데 능하다. 그 능력에 힘입어 작년 마이크로소프트가 소유하고 있는 코드 리포지토리인 깃허브(GitHub)에 인수되기도 했다.

3줄 요약
1. 크롬에서 샌드박스 탈출하게 해주는 취약점 발견됨.
2. 발견자는 세믈 시큐리티의 전문가로, 상금 전액 기부 요청함.
3. 페이스북에서도 이런 전적이 있음. 보안 업계의 새로운 기부 천사?
[국제부 문가용 기자(globoan@boannews.com)]

내년 회사에 꼭 도입하고 싶은 보안 솔루션 또는 플랫폼은 무엇인가요?
	XDR
	EDR
	AI 보안
	제로트러스트
	공급망 보안 체계(SBOM)
	클라우드 보안 솔루션
	기타(댓글로)