보안 전문가들, 애플 장비에서 취약점 발견해도 다른 곳에 판매
애플, 최대 상금 크게 올리고 비공개로 진행되던 것도 공개로 전환해

[보안뉴스 문가용 기자] 애플이 자사 버그바운티 프로그램을 크게 변경했다고 발표했다. 먼저는 초대를 기반으로, 즉 비공개로 진행하던 것을 ‘공개’로 전환해 모든 사람들이 참여할 수 있도록 하며, 버그바운티에 해당하는 제품의 수를 대폭 늘렸다고 한다.


이는 지난 주 열린 사이버 보안 행사인 블랙햇(Black Hat)에서 발표된 것이다. 애플은 3년 전 블랙햇 행사에서 자사의 처음 버그바운티 프로그램의 시작을 알린 바 있다.

애플의 버그바운티는 처음부터 지금까지 비공개로만 진행됐다. 최고 상금은 20만 달러로 책정됐는데, 이는 iOS에만 국한된 것이었다. 그랬던 것이 이제는 모든 보안 전문가가 참여할 수 있는 것으로 바뀐 것에 더해 맥OS, 아이클라우드(iCloud), 아이패드OS, tvOS, 워치OS로도 확대된 것이다.

애플 서버에 있는 아이클라우드 계정 데이터에 접근하는 걸 가능하게 해주는 취약점의 경우 최대 10만 달러의 상금이 주어진다. 마찬가지로 잠금 화면 우회 방법을 발견하는 자와 물리적 접근을 통해 사용자 데이터를 추출할 수 있게 해주는 오류를 발견하는 자에게도 최대 10만 달러가 약속되어 있다.

사용자가 설치한 애플리케이션을 공격할 수 있게 해주는 취약점을 발견할 경우 최대 25만 달러가 지급된다고 한다. 사용자의 특정한 행동 개입이 있어야 하는 네트워크 공격 가능성에 대해서도 최대 25만 달러가 수여될 예정이다.

전체 버그바운티 프로그램을 통틀어 가장 높은 상금은 사용자가 아무런 개입을 하지 않고도 성공시킬 수 있는 네트워크 공격 방법에 주어진다. 이는 다음과 같은 방법들을 말한다.
1) 물리적으로 가까운 위치에서 실시하는 무선 커널 공격(사용자 클릭이 한 번도 필요 없는 시나리오). 이 경우 상금은 최대 25만 달러.
2) 사용자의 고가치 데이터에 접근하는 공격(사용자 클릭이 한 번도 필요 없는 시나리오). 이 경우 상금은 최대 50만 달러.
3) 커널 코드 실행 공격 및 지속성 확보(사용자 클릭이 한 번도 필요 없는 시나리오). 이 경우 상금은 최대 100만 달러.
심지어 사전 공개 빌드에서 취약점을 찾아낼 경우 50% 보너스가 주어진다고 한다.

애플의 보안 엔지니어링 및 아키텍처 책임인 이반 크르스틱(Ivan Krstic)은 블랙햇에서 “산업 내 가장 큰 금액을 상금으로 내걸었다”고 말했다. 다만 “익스플로잇과 제로데이 취약점을 전문적으로 사들이는 기업인 제로디움(Zerodium)의 경우는 사용자 클릭이 전혀 필요 없는 원격 아이폰 탈옥을 가능케 하는 취약점에 200만 달러를 걸고는 있다”고 덧붙였다.

애플이 나름 파격적인 결심을 한 데에는 이유가 있다. 최근 보안 전문가들 사이에서 애플 제품과 서비스에서 심각한 취약점을 발견하더라도 애플에 알리지 않는 분위기가 형성되었기 때문이다. 애플이 주는 상금이 너무 적어 제로디움이나 기타 암시장의 거래처에서 보다 높은 값에 파는 게 유행처럼 번지고 있다. 애플은 올해 하반기부터 새로운 버그바운티를 시행하기 시작할 계획이다.

애플은 블랙햇에서 iOS 보안 연구 장비 프로그램(iOS Security Research Device Program)을 새롭게 발표하기도 했다. 이는 선택받은 일부 보안 전문가들에게 보안 실험 전용 아이폰을 지급하는 것을 말한다. 이 프로그램은 내년부터 정식으로 실행될 예정이다.

3줄 요약
1. 애플, 기존 버그바운티가 보안 전문가들의 인기를 끌지 못하는 걸 알고 변신 시도.
2. 비공개 프로그램을 공개로 전환. 최대 상금을 100만 달러로 크게 확대.
3. 내년부터 일부 보안 전문가들에게 보안 실험 전용 아이폰도 지급.
[국제부 문가용 기자(globoan@boannews.com)]

<저작권자: 보안뉴스(www.boannews.com) 무단전재-재배포금지>