마이크로소프트(MS), 페이스북 등 글로벌 정보기술(IT)기업이 버그바운티를 확대한다. 버그바운티 적용 범위를 늘리고 상금도 최대 25만달러(약 2억8100만원)까지 증액했다. 취약점을 악용한 해커공격이 극심해지자 외부 자원 활용에 적극 나섰다. 국내는 최대 상금 1000만원 미만으로 활성화가 더디다.
미국 더해커뉴스 등은 18일(현지시간) 페이스북이 액서스 토큰 취약점 신고 상금을 높인 새로운 '버그바운티 프로그램'을 운영한다고 보도했다. 취약점 발견 시 최소 500달러 이상 상금을 제공한다. 액서스 토큰은 특정 페이스북 계정에 접근하는 임시 보안권한으로 암호문 형태 문자열이다. 지난해 국내서 페이스북 액서스 토큰 정보를 불법 수집·판매해 추천 수 조작 등 문제가 됐다.
댄 구르 핀켈 페이스북 보안 엔지니어링 매니저는 블로그 통해 “이번 발표(버그바운티 확대)는 페이스북 이용자 보안과 프라이버시 향상을 위한 노력의 일환”이라면서 “액서스 토큰 관련 취약점 발견자가 우리에게 직접 제공하기 위해 프로그램을 확대한다”고 설명했다.
MS도 7월 새로운 버그바운티 프로그램을 공개했다. 신원확인서비스 취약점 발견 포상금을 지급한다. '마이크로소프트 아이덴티티 바운티 프로그램'으로 MS 계정, 애저 액티브 디렉토리 신원 확인 솔루션 등이 포함됐다. 취약점 중요도에 따라 상금 규모는 500달러에서 1만달러가량 지급한다. MS는 지난해 MS 엣지(Edge), MS 하이퍼-V, 윈도 디펜더 프로그램 등 대상으로 한 차례 버그바운티를 확대했다. 해당 취약점 발견자에게 최소 5000달러에서 최대 25만달러 상금을 지급한다.
구글도 지난달 계정 복구 시스템 우회, 콘텐츠 무단 공유 등 사기와 스팸방지를 위해 버그바운티를 확대했다. 구글은 8년간 1200만달러(135억원)에 달하는 금액을 취약점 신고 포상금으로 지급할 정도로 버그바운티 활성화에 적극적이다.
버그바운티는 보안 취약점 신고 포상제도다. 기업이 보안 수준을 높이기 위해 일반 사용자 집단지성을 활용하는 방안이다. 화이트해커가 취약점을 찾아내면 취약점 수준에 따라 일정한 보상을 주는 방식이다.
국내서도 KISA 등이 한국형 버그바운티를 도입한다. 여전히 법제도, 포상 금액 부족 등으로 활성화가 더디다. 제도 활성화를 위해 올해 상금을 기존 500만원에서 1000만원으로 확대했지만 여전히 글로벌 기업과 비교해 턱없이 부족하다. 기업 스스로 버그바운티 제도를 활용해야 한다는 지적이다.
업계 관계자는 “기업 한정된 자원으로 소프트웨어(SW) 취약점을 모두 찾아내는 것은 현실적으로 어렵기 때문에 글로벌 기업이 제도 확대에 나서는 것”이라면서 “국내에서도 기업이 SW취약점 위험성을 인지하고 버그바운티를 적극 활용해야 한다”고 말했다.
정영일기자 jung01@etnews.com