애저 시큐리티 랩 새롭게 시작...실제와 같은 환경에서 모의 공격 가능케 해
애저 관련 버그바운티 보상금 크게 늘리기도...세이프 하버 통해 연구 분석 원활하게

[보안뉴스 문가용 기자] 마이크로소프트가 애저(Azure) 서비스의 보안 강화와 관련된 발표를 두 가지나 했다. 하나는 애저 시큐리티 랩(Azure Security Lab)을 새롭게 시작한다는 것이고, 다른 하나는 애저와 관련된 버그바운티 상금을 높인다는 것이다.


애저 시큐리티 랩은 보안 전문가들이 각종 공격을 실험해볼 수 있도록 구성한 보안 실험 전용 클라우드 호스트들의 집합체다. 애저를 실제로 사용하고 있는 고객들을 분리해낸 채, 애저에 대한 여러 가지 공격 시나리오를 대입해볼 수 있게 해준다. 최대한 실제와 똑같은 환경에서 보안 실험을 하되, 고객들에는 아무런 영향이 없도록 한 것이다.

마이크로소프트는 보안 전문가들이 “자신감을 가지고 공격적으로 애저를 실험해주기를 바란다”는 희망 사항도 덧붙였다. 또한 최대한 애저를 부수고 싶은 마음으로 모의 공격을 해줄 만한 해커들을 이미 초대한 상태라고도 말했다. “실제 사이버 범죄자의 기술을 그대로 적용해볼 수 있는 사람들이 필요합니다.”

애저 시큐리티 랩에서 애저에 대한 모의 공격을 실시해보고 싶은 사람들이라면 신청을 통해 허락을 얻어야 한다. 호스트의 수가 한정되어 있기 때문에 무한정으로 모의 공격을 받아낼 수 없다는 것이다. 신청을 통해 한 번 승인을 받고 나면 한 개 사분기 동안 표적 공격 시나리오들을 적용해볼 수 있게 된다.

마이크로소프트의 수석 보안 PM 매니저인 킴벌리 프라이스(Kymberlee Price)에 의하면 “애저 시큐리티 랩을 사용할 수 있는 보안 전문가는 여러 형태의 보상을 가져갈 수도 있다”고 자사 블로그를 통해 공개하며 “애저 보안 전문가들과 협업할 수 있는 기회”도 그 중 하나라고 설명했다.

애저 시큐리티 랩에서 제공하는 시나리오 기반 모의 공격은 참가자들에게 보상을 제공하기도 한다. 공격에 성공한 사람은 최대 30만 달러를 받을 수 있게 된다. 현재 가장 많은 금액이 걸려있는 공격 시나리오는 ‘가상 기계 탈출’로, 전문가들은 게스트 가상 기계로부터 호스트 혹은 또 다른 게스트 가상 기계로 탈출을 성공시켜야 한다. 애저 호스트에 디도스 공격을 성공시킬 경우 최대 5만 달러의 상금이 수여된다.

또한 애저와 관련된 버그에 대한 상금도 높였다. 마이크로소프트가 공식적으로 진행하고 있는 애저 바운티 프로그램(Azure Bounty Program)의 상금이 올라간 것인데, 최대 상금이 500달러에서 4만 달러로 대폭 증가했다. 참고로 마이크로소프트는 지난 12개월 동안 버그바운티로 440만 달러를 지출한 바 있다.

그 외에 마이크로소프트는 지난 20년 동안 고수해온 ‘세이프 하버(Safe Harbor)’의 원칙을 공식화하기도 했다. 이는 보안 전문가들이 법적 다툼이나 각종 소송에 휘말릴 염려 없이 취약점 연구를 지속시킬 수 있게 해주기 위해 마련된 계획이다.

3줄 요약
1. MS, 애저의 강화 위해 두 가지 새로운 방침 발표.
2. 하나는 모의 공격 마음껏 하게 해주는 애저 시큐리티 랩.
3. 다른 하나는 애저 버그바운티 상금 크게 높인다는 내용.
[국제부 문가용 기자(globoan@boannews.com)]

Copyrighted 2015. UBM-Tech. 117153:0515BC
<저작권자: 보안뉴스(www.boannews.com) 무단전재-재배포금지>