글로벌 IT기업들, 오류(bug) 신고한 고객에게 보상금 두둑
글로벌 IT기업들이 자사 제품의 보안 취약성을 발견한 사람에게 두둑한 보상금을 주고 있어 눈길을 끈다.
인포월드는 최근 구글이 세르게이 글라주노프라는 버그(bug·오류) 찾기 전문가가 자사 웹브라우저 크롬의 결함을 발견해 신고하자 6만달러의 포상금을 지급했다고 보도했다. 글라주노프는 이에 앞서 버그 60여개를 찾아내 구글로부터 포상금을 탄 전력이 있다.
구글은 2010년 1월 보상금 지급 프로그램을 시작했다. 그동안 크롬에서 버그를 발견한 사람들에게 총 40만달러가 지급됐다. 구글은 이 과정에서 1000개 이상의 버그를 찾아냈다. 같은 해 11월 구글은 웹 취약성 프로그램도 개시, 자사 웹 사이트에서 버그를 찾아 제시한 200명 이상의 개인 연구자에게 41만달러를 지불하기도 했다. 두 프로그램을 통해 지급된 포상금만도 총 80만달러가 넘는다.
취약성 보고에 보상금을 주는 방식은 정보보안 솔루션 기업 아이디펜스가 지난 2002년 `취약성기부자프로그램(Vulnerability Contributor Program)`이란 이름으로 도입한 뒤로 도입이 잇따르고 있다. 모질라재단은 2004년 500달러 지급 프로그램을 개시해, 2011년 9월까지 총 10만4000달러 이상을 지급했다. 최근엔 건당 보상금을 3000달러로 상향 조정했다.
티핑포인트는 2005년 보상금 2000~5000달러를 지급하는 프로그램을 마련했다. 티핑포인트는 지금까지 지급한 보상금 액수가 560만달러를 넘는다. 페이스북은 버그 발견시 500~5000달러를 지급하기로 한 후 지난해 8월 첫 3주 동안 4만달러를 지급했다.
크롬과 구글 앱을 책임지는 순다르 피차이 수석부사장은 한 블로그에 “(구글이) 웹을 더 안전하게 만들도록 크롬 브라우저를 더 강력하게 할 수 있는 (보안 결함을) 무엇이든 제출해주길 고대한다”며 취약성 제보를 독려했다.
전문가들은 “SW에는 버그가 없을 수 없다”면서 “버그를 찾아내도록 독려하기 위해 비용 투자를 아끼지 않는 것이 SW기업이 앞서나가는 지름길”이라고 입을 모으고 있다.
정소영기자 syjung@etnews.com
