2019년부터 해커원(HackerOne) 플랫폼에서 초청으로만 진행되는 비공개 버그바운티 프로그램 운영

[보안뉴스 원병철 기자] 줌(Zoom Video Communications)이 2019년 버그바운티 프로그램을 시작한 이래 버그 리포트에 대한 보상으로 미화 240만 달러(한화 약 29억 2,000만원)가 넘는 상금과 선물을 지불했다고 밝혔다. 특히 줌은 2021년 401개 리포트에 대한 보상으로 미화 180만 달러(한화 약 21억 9,000만원) 이상을 투자했다. 미화 50만 달러 이하였던 2019년과 2020년과 비교하면 금액을 3배 이상 늘린 것이다.


줌은 자체적으로도 솔루션과 인프라를 매일 테스트하지만 테스트를 증강시키기 위해 윤리적 해커 커뮤니티와의 협력이 중요함을 인지하고 있다. 특정한 사용사례와 환경에서만 감지되는 엣지-케이스 취약점을 식별할 수 있기 때문이다. 줌은 2019년부터 해커원(HackerOne) 플랫폼에서 초청으로만 진행되는 비공개 버그바운티 프로그램을 운영해왔고, 이렇게 모집한 보안 연구가(리서처)만 800명이 넘는다.

줌 보안 엔지니어 리드 로이 데이비스(Roy Davis)는 “가상 커뮤니케이션 안전은 줌의 최우선순위다. 수백 명의 줌 보안 엔지니어가 메시지 및 회의의 기밀성과 무결성, 줌 글로벌 인프라의 가용성과 안정성을 위해 노력하고 있다”며, “줌은 한 걸음 앞서 줌 사용자와 인프라를 위협으로부터 보호하기 위해 비공개 버그바운티 프로그램을 운영하며 숙련된 전 세계 보안 연구가에 투자하고 있다”고 설명했다.

줌은 최우수 보안 전문가를 프로그램에 초대하기 위해 △허용하는 테스트 유형, ‘세이프 하버(Safe Horbor)’ 정책 세부사항, 취약점 보고서별 바운티 보상 예상 범위 등을 명확하고 간결한 프로그램 정책으로 설명하고, △공격 표면 범위, 즉 버그바운티 프로그램 영역을 꾸준히 넓히면서 영역 외 항목과 통제영역을 분명히 정의한다. 또한, △프로그램 응답, 조치(remediation), 보상 시간을 최소화함으로써 윤리적 해커들의 노력에 즉각적으로 응답하고, △버그바운티 프로그램을 관리하는 줌 담당자와 해커가 서로 전문가로서 관계를 형성하도록 지원하며, △전문가의 노력 그리고 취약점이 실제로 악용됐다면 발생했을 영향에 상응하는 경쟁력 있는 보상을 제공한다.

줌은 버그바운티 프로그램을 발전시키기 위해 지난 해 단일 버그 리포트에 대한 보상 상한선을 미화 5만 불(한화 약 6,000만원), 하한선을 미화 250불(한화 약 30만원)로 조정하고, 모두에게 열린 공개 VDP(Vulnerability Disclosure Program)를 시작하기도 했다. 10월에는 VIP 버그바운티 프로그램을 출시해 보안 테스트 영역을 줌 솔루션의 라이선스 버전으로 확장했다. 줌 취약점 관리 및 버그바운티(Vulnerability Management and Bug Bounty; VMBB) 팀은 한 해 동안 초기 응답, 분류, 조치, 보상 제공 시간을 줄이는 데 집중했고, 그 결과 최근에는 평균 4시간 이내 초기 응답을 전송하고 보통 48시간 이내 접수된 리포트에 대한 전체 분류를 완료하는 것으로 확인됐다. VMBB 팀은 매주 보상을 논의 및 검토하며 통상 리포트 접수로부터 14일 내에 지급을 완료한다. 줌은 보안 전문가들과 지속적인 관계를 형성하기 위해 전 세계 전문가들과 줌 회의를 갖기도 한다.
[원병철 기자(boanone@boannews.com)]

<저작권자: 보안뉴스(www.boannews.com) 무단전재-재배포금지>