버그바운티 진행 전문 플랫폼 버그크라우드에 지불 절차 맡겨
“보안 전문가들이 제대로 된 보상을 받을 수 있게 하기 위한 조치”

[보안뉴스 문가용 기자] 삼성전자가 2개월 동안 진행하고 있는 버그바운티 프로그램에 힘을 실었다. 버그바운티 운영 전문 업체인 버그크라우드(Bugcrowd)에게 버그바운티 지불 과정을 위임한 것.


삼성전자 모바일 보안 기술 그룹의 수석 부회장인 헨리 리(Henry Lee)는 “버그크라우드와의 파트너십 채결로 보안 전문 커뮤니티와 더 가까운 관계를 맺을 수 있게 되었다”며 “보안 전문가들의 기술에 걸맞는 비용을 지불할 것”이라고 말했다.

삼성은 현재 모바일 보안 보상 프로그램(Mobile Security Rewards Program)이라는 버그바운티를 운영하고 있으며, 취약점 하나 당 최대 20만 달러까지 상금을 탈 수 있다. 최대 20만 달러라는 말은 취약점의 심각도에 따라 금액이 다르게 책정될 수 있다는 뜻이다. 이 버그바운티 프로그램 대상이 되는 기기들은 현재 삼성이 판매하고 있으며 현재도 매달 혹은 분기별로 보안 업데이트를 받고 있는 모바일 기기 전부다.

삼성은 이번 버그바운티 프로그램에 네 가지 취약점 심각성 수준에 대한 항목을 설정하고 있다. 낮음, 중간, 높음, 치명적이 바로 그것으로 일반적인 버그 분류와 크게 다르지 않다. 삼성은 보안에 대한 직접적인 위협 가능성이 있는 취약점들만을 받고 있다.

이번 버그바운티에 대한 상세한 안내와 버그 제출은 이 페이지 주소(https://security.samsungmobile.com/rewardsProgram.smsb)를 통해 실시할 수 있다.
[국제부 문가용 기자(globoan@boannews.com)]

Copyrighted 2015. UBM-Tech. 117153:0515BC
<저작권자: 보안뉴스(www.boannews.com) 무단전재-재배포금지>