1년 동안 버그바운티 통해 1만 2천여 건 취약점 제보 받아
인도와 미국, 트리니다드토바고에서 가장 많은 참여 이뤄져

[보안뉴스 문가용 기자] 페이스북이 작년 한 해 동안 진행한 버그바운티를 통해 약 1만 2천 건의 취약점을 제보 받은 것으로 나타났다. 또한 이를 통해 약 88만 달러의 보상금을 지불했다고 발표했다. 취약점 한 건 당 지불한 평균 상금은 1900달러로, 2016년의 1675보다 조금 올랐다.


페이스북의 버그바운티 프로그램에 참여한 보안 전문가의 수도 늘어난 것으로 집계됐다. 페이스북의 보안 엔지니어인 잭 위튼(Jack Whitton)이 쓴 페북 블로그 포스트에 따르면 “2017년 한 해 동안 취약점을 제출해 상금을 받은 보안 전문가의 32%가 버그바운티에 처음 참여한 사람들”이었다고 한다.

한편 단일 취약점에 가장 크게 책정된 상금액은 4만 달러인 것으로 나타났다. 이미지트래직(ImageTragick)에서 발견된 원격 코드 실행 취약점이었다. 국가별로 집계했을 때 가장 많은 취약점 보고서를 제출한 나라는 인도였다. 2위는 미국이었으며, 3위는 트리니다드토바고였다. 총 100명 이상이 페이스북으로부터 상금을 받는 데 성공했다.

페이스북은 이러한 작년의 성과를 두고 ‘성공적’이었다고 평하며, “올해에는 몇 가지 요소를 더 고려해 프로그램을 발전시키겠다”고 발표했다. “상금액, 제출된 취약점의 적합성 등이 저희가 제일 먼저 고려할 요소입니다. 상금에 더하여 별도의 무언가를 줄 수 없을까 고민하고 있기도 하고요. 페븍 특별 행사 초청작이라든가 권위 있는 상패라든가 하는 것들이요.”

위튼에 의하면 “페이스북은 상금을 전문가들에게 전달하는 데에 있어 시간이 지체되는 일이 일부 발생했다는 걸 인지하고 있으며, 이를 보완하기 위해 버그바운티 프로세스를 일부 수정할 계획”이다. “2018년에는 상금을 받아 마땅한 보안 전문가가 ‘제 때’ 필요한 상금을 받을 수 있도록 조치를 취하겠습니다.”

페이스북은 많은 전문가들이 버그바운티에 참여할 수 있도록 가이드라인을 제시하고 있다. 이는 이 주소(facebook.com/whitehat/resources)를 통해 열람이 가능하다. “페이스북은 6년째 버그바운티를 진행하고 있고 작년 88만 달러의 상금까지 합쳐 총 630만 달러를 보안 커뮤니티에 지급했습니다. 앞으로도 이 금액은 계속해서 늘어날 전망입니다.”
[국제부 문가용 기자(globoan@boannews.com)]

<저작권자: 보안뉴스(www.boannews.com) 무단전재-재배포금지>