취약점 연구자들 북돋기 위한 제도...돈 더 주겠다는 조직들도 속속 등장 중

요약 : 보안 블로그 시큐리티어페어즈에 의하면 인기가 매우 높은 애플리케이션의 경우 버그바운티를 실시하는 게 매우 ‘복잡한 상황’으로 이어지고 있다고 한다. 왓츠앱과 같은 경우, ‘세계의 카카오톡’이라고 불려도 손색이 없을 정도로 외국에서는 거의 모든 사람이 사용하고 있는 초 거대 애플리케이션인데, 이 앱의 주인인 메타보다 취약점 보상금을 더 많이 제공하려는 사람들을 얼마든지 찾을 수 있다고 한다. 아이폰이나 안드로이드 장비처럼 전 지구상에서 사용되는 장비들의 취약점의 경우 기업이나 정부가 천문학적인 돈을 주고 은밀히 구매하려 하기도 한다. 그러니 개발사가 직접 버그바운티를 걸어도 취약점 연구원들은 다른 곳에서 거래를 진행하기 일쑤다.


배경 : 제로데이 취약점을 비싼 돈 주고 구매하는 기업이나 개인들은 해당 취약점을 비밀로 간직할 수 있게 된다. 혼자서만 독점적으로 익스플로잇 하는 게 가능해지기 때문에 특정 표적을 은밀히 염탐하거나, 은밀한 염탐의 수요가 있는 고객(eg. 국가 정보 기관)에게 더 비싼 값으로 판매할 수 있게 된다. 애플이 버그바운티에 인색했을 때 이런 시장이 크게 활성화되기도 했었다.

말말말 : “최근 러시아의 제로데이 브로커 회사인 오퍼레이션제로(Operation Zero)는 아이폰과 안드로이드 장비들에서 발견된 제로데이에 2천만 달러라는 상금을 걸기도 했습니다.” -시큐리티어페어즈-
[국제부 문가용 기자(globoan@boannews.com)]

<저작권자: 보안뉴스(www.boannews.com) 무단전재-재배포금지>