2016년부터 실시해 온 버그바운티...총 70개 취약점 발견
특정 원격 코드 실행 취약점에 걸린 상금 20배 늘어나

[보안뉴스 문가용 기자] 카스퍼스키 랩이 이번 주 자사가 진행하는 버그바운티 프로그램을 확대할 계획임을 발표했다. 버그 발견에 대한 보상금이 최대 10만 달러로까지 올랐다.


카스퍼스키는 지난 2016년 8월 해커원(HackerOne)과 함께 버그바운티 프로그램을 실시하기 시작했다. 첫 보상금은 총 5만 달러였다. 당시 6개월 동안 20개의 취약점을 발견하는 성과를 올렸다. 그리고 여태까지 꾸준히 버그바운티를 실행해온 결과 카스퍼스키는 총 70개에 달하는 버그를 잡아냈다.

그리고 지난 4월 카스퍼스키는 자사의 패스워드 매니저 8(Password Manager 8)이라는 보안 서비스도 버그바운티 프로그램에 포함시켰다. 또한 원격 코드 실행 취약점들에 대해서는 최대 상금을 2천 달러에서 5천 달러로 높이기도 했다.

그러므로 최대 상금이 10만 달러라는 건 지난 발표 때보다 무려 20배가 오른 것이다. 이 상금을 가져갈 자격은 해커원 플랫폼에 가입한 자라면 누구에게나 주어진다. 카스퍼스키 제품이나 서비스를 누구나 해체해볼 수 있다는 것이다.

이번에 스무 배 오른 상금은 이전 최대 상금이 걸려 있던 원격 코드 실행 취약점이다. 제품 데이터베이스 업데이트 채널을 통해 원격 코드 실행이 가능하게 하는 단일 취약점이나 복수의 취약점 조합을 발견한 자에게 수여할 예정이라고 카스퍼스키는 발표했다. 단 한 가지 제약 조건이 있다면 “사용자 몰래 공격이 가능해야” 한다는 것이다.

그 외의 원격 코드 실행 취약점들에는 최소 5천 달러에서 최대 2만 달러의 상금이 수여될 예정이다. 익스플로잇의 복잡함에 따라 금액은 결정된다. 또한 로컬에서 권한 상승이나 민감한 데이터 노출을 일으키는 취약점을 발견한 연구자들에게도 적당한 상금이 수여될 것이라고 카스퍼스키는 밝혔다.

당연한 이야기지만 이전까지 한 번도 밝혀지지 않은 취약점만 상금 심사 대상이 된다. 카스퍼스키의 인터넷 보안 2019(Kaspersky Internet Security 2019)와 카스퍼스키 엔드포인트 보안 11(Kaspersky Endpoint Security 11)를 통해 최근 취약점들을 확인할 수 있다. 윈도우 8.1 및 그 상위 버전만 취급한다.

“버그를 발견하고 고치는 작업은 저희 같은 소프트웨어 제조 업체에 있어 가장 중요한 일입니다. 그래서 이렇게 외부 전문가들의 힘을 빌리려는 것이죠. 보다 안전하고 단단한 제품을 고객들에게 선보이고 싶어서요. 어떠한 공격에도 방어가 되어 있는 제품만을 시장에 내놓는 것이 우리의 목적입니다.” CEO인 유진 카스퍼스키(Eugene Kaspersky)의 설명이다.

카스퍼스키는 작년 미국 정부 기관으로부터 퇴출을 당한 후 ‘오명을 씻기 위해’ 모든 노력을 기울이고 있다. 이번 버그바운티 상금이 크게 뛰어오른 것 역시 이러한 노력의 일환으로 분석된다. 현재 카스퍼스키는 미국에서 퇴출되다시피 하게 만든 국토방위부와 미국 정부를 상대로 법정 싸움을 진행 중에 있다.
[국제부 문가용 기자(globoan@boannews.com)]

<저작권자: 보안뉴스(www.boannews.com) 무단전재-재배포금지>