페이스북, 버그바운티 대상 항목과 상금 규모 늘려

입력 : 2019-10-18 11:12

자체 프로그램 및 애플리케이션에 대해서는 세부적인 보너스 항목 생겨
서드파티 앱과 웹사이트에 대한 취약점 연구도 보다 능동적으로 진행할 수 있게

[보안뉴스 문가용 기자] 페이스북이 버그바운티 프로그램을 확장하기로 결정했다. 페이스북 자체 제품들에 대한 버그바운티 상금이 늘어났을 뿐만 아니라 서드파티 앱에 대한 프로그램도 신설 및 확장될 것이라고 한다.


페이스북이 서드파티 앱과 웹사이트에 대한 버그바운티 프로그램을 실시하기 시작한 건 작년이다. 다만 페이스북의 사용자 데이터를 부적절하게 노출시키게 하는 취약점들에 한해서만 상금을 지불했다. 이제는 그 외 취약점들에 대해서도 상금을 수여한다. “즉, 이전까지는 수동적인 관찰을 통해서 발견할 수 있던 취약점들만 취급했지만, 이제 적극적인 모의 해킹 실험을 통해 발견된 취약점들도 해당된다는 겁니다.”

물론 남이 만든 앱을 마구 찔러보는 것이라, 보안 강화를 위한 실험이라고는 하지만 지켜야 할 선이 있다. 페이스북은 보안 전문가들이 이 점을 잘 지킬 것을 강조했다. “지켜야 할 것들 중 가장 중요한 건 서드파티 앱이나 웹사이트의 원래 개발자로부터 실험 허락을 받았다는 증거 자료입니다. 버그를 보고할 때 이 자료도 함께 제출해야 합니다.”

그러면서 페이스북은 “보안 전문가들이 페이스북 생태계 내에서 활동하는 개발자들과 더 활발하게 교류하기를 바란다”고 이번 버그바운티 확대 이유를 설명했다. “또한 앱과 웹사이트의 안전성 여부를 확인하고 보강하기 위해 노력하도록, 보안 전문가들에게 혜택을 더 주고 싶었습니다. 투자가 이뤄지지 않는 영역까지 보안 업계가 알아서 관심을 가져주기를 바라는 건 바람직하지도 않고 효과도 없으니까요.”

페이스북 자체 앱들인 왓츠앱(WhatsApp)이나 메신저(Messanger), 오큘러스(Oculus), 포털(Portal), 프록시젠(Proxygen), mvfst 등을 대상으로 한 버그바운티도 확대된다. “원격 코드 실행, 권한 상승, 사용자 데이터 침해 등으로 이어지게 해주는 취약점이 발견될 경우 이전보다 많은 상금을 제공할 계획입니다.”

다만 이 부분에서의 버그 리포트에는 수준이 높은 개념 증명이 함께 첨부되어야 한다고 페이스북은 강조했다. “또한 상금의 양은 익스플로잇의 수준, 익스플로잇 되었을 때의 효과, 필요한 사용자 개입의 정도에 따라 다르게 책정될 것입니다. 원격 코드 취약점을 찾았다고 해서 무조건 최고 상금이 주어지는 건 아니라는 겁니다.”

그렇다 하더라도 페이스북이 버그 헌터들에게 돈을 쓸 의향은 충분히 있는 것으로 보인다. “확실히 기능을 발휘하는 익스플로잇을 동반한 개념 증명을 제출할 경우 1만 5천 달러를 보너스로 지급할 것입니다. 명령어 포인터(instruction pointer) 통제나 임의 작성(arbitrary write)을 나타낼 수 있는 개념 증명의 경우 최대 9천 달러의 보너스가 지급되고, 임의 읽기(arbitrary read)는 최대 5천 달러, 포인터 유출(pointer leak)은 최대 1천 달러가 배정될 것입니다.”

페이스북은 상금 규모를 제시하면서 자신들이 바라는 보고서의 예시를 공개하기도 했다. “위험성이 미비한 경우에는 보고서를 제출했다고 하더라도 상금을 받지 못할 수 있습니다. 보고서는 양호한데 익스플로잇이 제대로 작동하지 않는다면 상금만 받고 보너스는 추가로 받을 수 없습니다. 그런 식으로 세부적인 상금 책정 절차에 따라 최대한 공정하고 넉넉하게 보안 전문가들에게 상금을 수여할 예정입니다.”

그러면서 페이스북은 다음 세 가지는 접수조차 하지 않을 것이라고 못을 박았다.
1) 심벌이 없는 스택 트레이스(stack trace)
2) 질 낮은 개념증명(예 : 정리나 압축 과정을 거치지 않은 대용량 퍼즈(fuzz) 파일)
3) 보고서나 설명 한 줄 없는 크래시 덤프(crash dump)

3줄 요약
1. 페이스북, 자체 애플리케이션에 대한 상금 늘림. 보너스 항목이 생김.
2. 서드파티 앱과 웹사이트에 대한 침투 테스트도 허용함.
3. 상금 액수 책정을 세부적으로 하여 최대한 공정하게 상금 수여할 예정.
[국제부 문가용 기자(globoan@boannews.com)]

<저작권자: 보안뉴스(www.boannews.com) 무단전재-재배포금지>

문가용기자 기사보기

• “
•  SNS에서도 보안뉴스를 받아보세요!! 
• ”

• 조회순
• 추천순
• 스크랩순

• 1

  업무 관련 메일로 위장해 유포 중인 악성코드...

• 2

  [개인정보 보호법 해석 사례-④] 인사·노무...

• 3

  배블로더, 그리 획기적이지 않은 기술을 매우...

• 4

  최근 페이스북에서 유행하는 멀버타이징 캠페인...

• 5

  [긴급] 국세청 등 정부 사칭 미끼 문자와 ...

• 1

  [개인정보 보호법 해석 사례-④] 인사·노무...

• 2

  악명 높은 봇넷 엔지오웹, 각종 범죄 인프라...

• 3

  [정보세계정치학회 칼럼] 데이터·공급망 안보...

• 4

  북한 IT노동자, 가짜 이력서로 서방국 취업...

• 5

  연말시즌, 해커도 성수기... 해커들이 만든...

• 1

  580억원 상당의 가상자산 탈취사건, 북한 ...

• 2

  개인정보 유출 사고 대응방안 논의... 공공...

• 3

  인류를 위한 인공지능 거버넌스, 어떤 제안 ...

• 4

  깃허브에서 활동하는 개발자들을 노리는 고급 ...

• 5

  [단독] 한국지능정보사회진흥원, 관리자계정 ...