• Korea Council of Chief Information Security Officers
      회원안내      

자료실

  • HOME
  • 자료실
  • 보안 제품정보

자료실

보안 제품정보

팬데믹 통해 떠오른 줌, 버그바운티 상금도 4배나 많이 지출해 2022.04.07

버그바운티 상금을 1년 만에 4배나 늘린 줌은 경쟁적인 자세로 외부 보안 전문가들의 참여를 독려하고 있다. 보안 전문가들의 수는 한정적인데, 고쳐야 할 취약점은 무수할 정도로 많기 때문이다. 그 결과가 수치로도 나오고 있다.

[보안뉴스 문가용 기자] 클라우드 기반 통신 솔루션 업체 줌(Zoom)이 2021년 한 해 동안 버그바운티에만 180만 달러를 지출했다고 발표했다. 2020년에 비해 무려 4배나 뛰어오른 수치라고 한다. 총 92명의 전문가들이 401개의 취약점 보고서를 제출한 결과인데, 이중 약 5%가 초고위험도 취약점으로 분류됐다고 줌의 수석 보안 엔지니어인 로이 데이비스(Roy Davis)가 설명했다.

[이미지 = utoimage]


“지난 한 해 동안 줌은 취약점 접수 및 상금 지급 절차를 유연하고 간소화 하는 데 많은 노력을 기울였습니다. 외부 보안 전문가들의 활동을 격려하고, 줌과 보안 커뮤니티가 건강한 관계를 유지하도록 하는 것이 가장 중요한 목적이었습니다.” 데이비스의 설명이다. “보안 전문가들이 관심을 가지면 가질수록 줌이라는 플랫폼이 강력해질 것이라고 생각했습니다. 많은 관심을 끌려면 상금 규모를 키우는 것이 제일 좋은 방법이었고, 그와 더불어 소통 과정을 쉽고 편안하게 만들어야 했지요.”

데이비스에게 있어 버그바운티 제도 역시 일종의 경쟁이다. “세상 모든 플랫폼들은 외부 전문가의 취약점 발굴 및 제보 활동을 필요로 합니다. 그래야 내부에서는 발견할 수 없던 약점들을 보완할 수 있게 되니까요. 하지만 보안 전문가의 수는 한정되어 있죠. 그들의 관심을 끄는 것에서부터 경쟁이 시작되는 겁니다. 보안 커뮤니티와 가까운 관계를 유지하는 것은 보안을 진지하게 여기는 기업과 단체들이 간과할 수 없는 일입니다. 돈으로 보상을 해 주기도 하면서 각종 보안 행사에 나가서 실제로 친해져야 할 필요도 있습니다.”

지난 수년 동안 버그바운티라는 제도 자체는 계속해서 전성기를 갱신하고 있다. 지난 해 버그바운티 플랫폼인 버그크라우드(Bugcrowd)에 제보된 취약점들의 수는 그 전 해에 비해 50% 증가했고, 비슷한 플랫폼인 해커원(HackerOne)의 경우 34%의 증가가 기록됐다고 한다. 다른 산업에서도 비슷한 현상이 목격되고 있다. 의료 기술 분야와 우주 항공 분야의 경우 2021년 한 해 동안 취약점의 수가 무려 150% 늘어났다. 취약점이 늘어나는 만큼 기업들이 외부 보안 전문가들에게 지급하는 상금 규모도 꾸준히 늘어나고 있다. 줌 역시 그런 기업들 중 하나다.

이왕이면 상위 10위 안에 드는 것이 좋아
줌은 지난 3년 동안 버그바운티 프로그램을 통해 총 240만 달러를 지출했다. 그런데 그 절반 이상이 단 10명에게 돌아갔다고 한다. 2021년의 경우 총 상금의 60%를 최상위 10명이 독차지 했다. “저희가 보안 전문가의 등급을 매긴 후 상금을 차별해서 지급하는 게 아닙니다. 그만큼 상위 전문가들의 활동력이 왕성하고 실력도 좋다는 겁니다. 저희가 상금을 늘리니 실력이 좋은 보안 전문가들이 저희와 협력하려고 모여든 것이기도 하고요.”

하지만 줌이 돈 액수만 증가시킨 건 아니다. 보안 전문가들이 조금이라도 더 분명한 개념을 가지고 버그바운티 프로그램에 참여할 수 있도록 취약점 선정 기준과 정책을 최대한 명확하게 수립하여 공개했다. 또한 혹여 취약점 발굴 활동이 법과 저촉되지 않도록 뒷단에서 여러 가지 장치를 마련하고 보안 전문가들을 안심시켰다. 필요하다면 연구의 범위를 처음부터 지정하기도 했다.

데이비스는 “버그바운티는 무조건 하는 게 좋다”고 다른 회사들에도 권장하는 편이라고 밝힌다. “특히 소프트웨어 회사라면 버그바운티라는 제도가 참으로 고마울 겁니다. 버그바운티는 회사들을 각종 위험으로부터 벗어나게 해 주고, 보안 전문가들의 삶도 윤택하게 만드는 건강한 제도라고 생각합니다. 독립적으로 활동하는 보안 전문가들로 구성된 보안 커뮤니티의 존재는 어느 산업에나 높은 가치를 발휘하게 될 겁니다.”

3줄 요약
1. 팬데믹 때문에 크게 성장한 줌, 버그바운티 규모도 크게 늘림.
2. 버그바운티를 통해 외부 보안 전문가들의 관심을 사는 건 반드시 필요한 일.
3. 버그바운티는 회사도 살고 보안 커뮤니티도 사는 ‘윈윈’ 제도.
[국제부 문가용 기자(globoan@boannews.com)]

<저작권자: 보안뉴스(www.boannews.com) 무단전재-재배포금지>