다양한 버그바운티 프로그램 운영...현재 총 1천 2백만 달러 상금 지출
원격 코드 실행에 가장 큰 상금 수여...가장 큰 개인 상금은 11만 2천 달러

[보안뉴스 문가용 기자] 2017년 한 해 동안 구글은 총 2백 9십만 달러를 취약점 보상 프로그램으로 지출했다. 일종의 버그바운티로, 구글은 ‘구글 취약점 보상 프로그램(Google Vulnerability Reward Program)’이라는 것을 2010년부터 실시해 왔고, 여태까지 총 1천 2백만 달러를 보안 전문가들에게 투자했다.


구글의 제품과 서비스에서 발견된 취약점에는 총 1백만 달러가 상금으로 나갔고, 1백 1십만 달러는 안드로이드에서 발견된 버그 발견자들에게 할당됐다. 구글은 총 1230건의 버그에 대해 상금을 수여했으며, 약 274명의 보안 전문가들이 올 한 해 버그바운티 프로그램에 참여했다고 발표했다.

또한 구글은 또 다른 보상 프로그램인 ‘취약점 연구 양여금(Vulnerability Research Grants)’을 통해 50명이 넘는 보안 전문가들에게 각각 12만 5천 달러의 상금을 수여하기도 했다. 취약점 연구 양여금 프로그램은 구글 취약점 보상 프로그램과 상호보완적인 특징을 갖는 ‘버그바운티’의 일종으로, 구글에서 출시한 여러 제품과 서비스들에서 취약점을 찾아내도록 특정 연구자들을 초대하는 방식으로 진행한다. 특이한 건 취약점을 찾아내지 못해도 약속된 금액이 지불된다는 것이다.

이것만이 아니라 구글은 2013년부터 시작한 패치 보상 프로그램(Patch Rewards Program)을 통해서도 5만 달러라는 작지 않은 금액을 전문가들에게 지불했다. 패치 보상 프로그램은 오픈소스 프로젝트의 보안을 능동적으로 향상시킨 사람들에게 상금을 수여한다.

작년 한 해 동안 구글이 한 개인에게 수여한 가장 큰 금액은 11만 2천 5백 달러이다. 안드로이드의 오류에 대한 상금이었으며, 역대 안드로이드 취약점 발견에 대한 보상액 중 가장 큰 규모이기도 했다. 주인공은 보안 업체 치후 360(Qihoo 360)의 연구원인 구앙 공(Guang Gong)이란 인물이다. 안드로이드에서 원격 익스플로잇 체인을 발견했다.

이 익스플로잇 체인이란 두 가지 버그로 이루어진 취약점인데, 하나는 CVE-2017-5116으로 V8 엔진에서 발견된 버그다. 이 버그를 통해 샌드박스 된 크롬 렌더 프로세스에서 원격 코드를 실행할 수 있게 된다. 다른 하나는 CVE-2017-14904로 안드로이드의 libgralloc 모듈에서 발견된 것이다. 이 둘을 합치면 공격자가 system_server로 임의의 코드를 주입할 수 있게 된다.

gzobqq라는 보안 연구원도 특이할 만하다. 10만 달러를 챙긴 전문가로 크롬 OS의 게스트 모드에서 원격 코드 실행에 성공했다. 알렉스 버산(Alex Birsan)이란 전문가는 구글 내부에서만 사용하는 구글 이슈 트래커(Google Issue Tracker)의 데이터에 아무나 접근할 수 있도록 해주는 버그를 발견해서 1만 5천 6백 달러를 받았다.

구글은 원격 익스플로잇에 관하여 가장 큰 상금을 지불한다. 트러스트존(TrustZone)이나 베리파이드 부트(Verified Boot)와 관련된 오류에도 마찬가지로 큰 상금을 책정하고 있다. 작게는 5만 달러에서 많게는 20만 달러에까지 이른다. 원격 커널 익스플로잇에 대한 상금 역시 3만 달러에서 15만 달러까지다. 그 밖에 원격 코드 실행과 관련된 자잘한 버그들 역시 1천 달러에서 5천 달러까지다.
[국제부 문가용 기자(globoan@boannews.com)]

Copyrighted 2015. UBM-Tech. 117153:0515BC
<저작권자: 보안뉴스(www.boannews.com) 무단전재-재배포금지>