토르 버그바운티, 기존 초청된 해커로만 운영한 데서 일반까지 확대
버그 심각성이나 영향력에 따라 각 버그에 대해 최대 4,000달러 포상

[보안뉴스 오다인 기자] 온라인상에서의 익명성을 보장하는 플랫폼인 토르 프로젝트(Tor Project)가 초청한 해커들만 참여할 수 있었던 기존의 버그바운티를 일반 해커들까지 확대해 시행하기로 했다. 토르는 참가 대상을 넓히면서 버그바운티 전문 플랫폼인 해커원(HackerOne)과 협력했다.


토르는 현재 일반 시민을 포함해 저널리스트, 프라이버시 옹호자, 반정부 인사 등 전 세계 약 140만 명의 사용자가 이용하는 무료 소프트웨어로, 영문명 ‘더 오니언 라우터(The Onion Router)’를 줄인 말이다. 익명 통신을 말하는 오니언 라우팅(Onion Routing)은 마치 양파가 여러 겹으로 싸인 것처럼 온라인 네트워크의 메시지를 암호화로 감싼다는 데서 이런 이름이 붙었다.

2년 전부터 토르는 초청한 해커들만 참여할 수 있는 버그바운티 프로젝트를 운영해왔다. 이를 통해 크래시(crash), 디도스, 경계 조건 메모리 오염(edge-case memory-corruption)을 포함해 총 7개의 취약점을 찾아냈으며 약 246만 원(2,200달러)을 포상했다. 토르는 ‘#HackTor’라는 이름으로 참가 대상 확대를 발표하면서, 버그의 심각성이나 영향력에 따라 각각에 대해 최대 447만 원(4,000달러)를 포상하겠다고 밝혔다.

토르는 이번 버그바운티 프로그램으로 토르 네트워크 데몬(Daemon)과 브라우저 소프트웨어 내의 취약점들을 뿌리 뽑을 수 있기를 기대한다. 특히, 로컬 권한 상승, 사용자 정보에 대한 무허가 접근, 중계기(relay)나 클라이언트의 암호화 정보 유출, 원격 코드 실행 등과 같은 취약점을 발견해주길 바라는 것으로 알려졌다.

“초청한 해커들로만 버그바운티를 운영했을 때도 성공했기 때문에, 앞으로는 버그바운티에 참여하고자 하는 모든 해커들을 대상으로 문을 활짝 열기로 했습니다. 이전의 버그바운티를 통해 저희는 수준 높은 버그 보고서를 받아볼 수 있었습니다. 버그바운티 프로그램에 속하는 소프트웨어의 문제들을 고칠 수 있었을 뿐만 아니라, 저희가 생산하고 사용하는 다른 도구들에서도 여러 문제를 개선할 수 있었죠.” 토르 브라우저 팀의 수장 게오르그 쾨펜(Georg Koppen)의 말이다.

토르 버그바운티는 오픈 테크놀로지 펀드(Open Technology Fund)가 후원한다. 오픈 테크놀로지 펀드는 미국 정부가 2012년 조성한 후원 프로그램으로, 전 세계 인터넷 자유를 실현하기 위한 기술 및 이니셔티브를 지지한다.

버그바운티 플랫폼 서비스인 해커원의 공동 설립자이자 CTO인 알렉스 라이스(Alex Rice)는 다수의 조직들이 감을 잡기 위한 차원에서 일단 초청한 해커들로만 버그바운티를 시작한다고 말한다. 라이스는 토르의 이번 결정에 대해 “소프트웨어 취약점을 찾기 위해 포상금을 늘리는 대신 참가 해커의 수를 늘린 것”이라고 분석했다.

지난 1년 반 동안 토르는 기존의 버그바운티 프로그램에 점차 더 많은 수의 해커들을 초청했으며 버그를 발견한 해커들에 대한 포상금도 올려왔다고 라이스는 지적했다.

“토르 같은 기술 내에서 취약점의 영향력은 일반적인 조직에서 취약점이 내포한 영향력보다 훨씬 더 큽니다.” 그 이유에 대해 라이스는 “토르는 인권 활동가나 프라이버시 옹호자처럼 프라이버시가 보호되지 않으면 때로 목숨까지 위태로울 수 있는 개인들이 사용하고 있기 때문”이라고 설명했다.

그러나 토르의 인기 이면에는 인터넷 세상의 지저분한 요소들도 자리하고 있다. 암시장으로 악명이 높은 알파베이 다크웹이 한 예다. 알파베이는 참가자들의 신원을 감추기 위해 토르를 사용해왔으나 대대적인 법 집행 이후 현재 폐쇄된 상태다.
[국제부 오다인 기자(boan2@boannews.com)]

Copyrighted 2015. UBM-Tech. 117153:0515BC
<저작권자: 보안뉴스(www.boannews.com) 무단전재-재배포금지>