• Korea Council of Chief Information Security Officers
      회원안내      

자료실

  • HOME
  • 자료실
  • 보안 제품정보

자료실

보안 제품정보

외부 보안 전문가들과의 협력 체계 마련에 열 올리는 구글 2022.02.14

구글이 2021년 한 해 동안 운영했던 버그바운티 프로그램의 결과를 발표했다. 매년 하는 일인데, 매년 상금도 늘어나고 취약점 개수도 늘어난다. 작년 한 해 구글의 기술 중 가장 많은 취약점 제보를 이끌어낸 건 크롬과 안드로이드였다.

[보안뉴스 문가용 기자] 버그바운티 프로그램은 기업이 자사 제품이나 서비스의 취약점을 찾아서 보강하는 데에 얼마나 진심을 쏟고 있는지를 나타내는 척도 중 하나로도 볼 수 있다. 그래서 버그바운티를 진행하는 기업들은 프로그램을 하나 시작할 때마다 대대적으로 광고하고, 연초면 지난 해의 상금 액수를 집계해 역시 대대적으로 발표하는 것이다.

[이미지 = utoimage]


최근 구글은 자사가 2021년 한 해 동안 진행한 버그바운티와 관련된 내용을 집계해 발표했다. 한 해 동안 구글이 외부 보안 전문가들에게 지불한 상금은 총 870만 달러이며, 이 돈은 62개국 696명의 취약점 사냥꾼들에게 배분됐다고 한다. 외부 보안 전문가들이 구글에 제보한 취약점은 수천 개에 이른다고 한다.

870만 달러라면 전년도 대비 30% 증가한 금액이다. 2020년의 총 상금은 670만 달러였었다. 특정 취약점들에 대한 상금이 더 높게 책정되기도 했지만, 전문가들의 참여가 대폭 늘어나면서 발견된 취약점의 수 자체가 늘어났기 때문이라고 한다.

크롬 취약점들, 크게 늘어
세계의 보안 전문가들이 집중 공략한 구글 제품 중 대표적인 건 크롬이었다. 2021년 버그바운티를 통해 세상에 공개된 크롬 보안 취약점은 총 333개였다. 2020년 300개에 비해 10% 정도 증가한 것이라고 볼 수 있다. 크롬에서 취약점을 발견한 전문가는 총 115명이었고 이들이 획득한 총 상금은 330만 달러였다. 크롬 중에서도 크롬 브라우저에 대한 취약점 상금이 가장 많은 부분을 차지했다(300만 달러). 그 외에 크롬OS에서도 25만 달러가 상금으로서 지출됐다.

구글의 제품 중 안드로이드 OS에서도 많은 취약점들이 발견됐다. 300만 달러가 이 부문에서 상금으로 지불됐는데 전년 대비 2배 가까운 양이다. 재미있는 건 단 두 명의 연구원들이 합쳐서 360개의 취약점을 발견했다는 것이다. 이중 한 명은 아만 팬디(Aman Pandey)로 혼자서 232개의 취약점을 찾아냈다. 다른 한 명은 유쳉 린(Yu Cheng Lin)이란 인물이며 128개의 취약점을 제보해 인정받았다. 구글은 안드로이드에서 치명적인 취약점을 찾아낸 또 다른 보안 전문가에게 15만 7천 달러를 지급했는데 이는 안드로이드 버그바운티 역사상 최고 금액이다.

구글 플레이에서도 많은 상금이 수여됐다. 2020년에는 27만 달러가 나갔는데 2021년에는 무려 55만 달러의 상금이 외부 전문가들에게 지급된 것이다.

2021년 구글이 취약점 제보 및 버그바운티 프로그램과 관련하여 내딘 걸음 중 주목할 만한 것은 버그 사냥꾼들을 위한 공개 플랫폼을 만든 것이다. 이 플랫폼을 통하여 구글 제품에서 발견된 버그를 보다 간편하게 제출할 수 있게 된다. 또한 취약점 연구자들 간 소통과 커뮤니티 형성도 보다 원활해질 수 있게 될 것이라고 구글은 설명했다.

프로젝트 제로
구글은 외부 전문가들을 통하여서도 취약점을 찾아내지만 내부에도 취약점 연구를 전문으로 하는 팀이 있다. 바로 구글 프로젝트 제로(Project Zero) 팀이다. 작년 프로젝트 제로 팀은 2019년부터 2021년 사이에 다른 기업들의 IT 제품 및 서비스에서 총 376개의 보안 취약점들을 찾아냈다고 한다. 이중 351개는 해결이 됐지만 나머지는 패치가 나오지 않을 전망이다.

프로젝트 제로 팀이 찾아낸 376개의 취약점 중에서 96개는 마이크로소프트 제품에서, 85개는 애플의 샹태계에서, 60개는 구글의 기술에서 나왔다고 한다. 이중 취약점 해결에 가장 짧은 시간이 걸린 업체는 구글이었다. 구글의 평균 패치 발표 기간은 44일, 애플의 그것은 69일, 마이크로소프트는 83일인 것으로 조사됐다.

3줄 요약
1. 구글은 버그바운티에 아낌없는 투자를 하고 있음.
2. 구글 제품 연구하기에 더 편리한 플랫폼까지 작년에 만듦
3. 구글 내부의 취약점 연구 집단인 프로젝트 제로 팀도 활발히 활동 중.
[국제부 문가용 기자(globoan@boannews.com)]

<저작권자: 보안뉴스(www.boannews.com) 무단전재-재배포금지>