• Korea Council of Chief Information Security Officers
      회원안내      

자료실

  • HOME
  • 자료실
  • 보안 제품정보

자료실

보안 제품정보

공개 버그바운티 시작한 애플, 까다로운 조건 내세워 2019.12.23

여태까지 비공개 버그바운티만 했던 기업...이번에 상금도 크게 올려
그러나 최대 상금에 걸린 조건 너무 까다로워...실제 지급되는 상금도 클까?

[보안뉴스 문가용 기자] 애플이 공개 버그바운티 프로그램을 시작했다. 약 4개월 전 블랙햇(Black Hat) 행사에서 발표한 바를 실천한 것이다. 애플은 지난 3년 동안 비공개 버그바운티만을 진행해온 곳으로, 제품에 대한 일반 소비자들의 높은 관심과 달리 보안 전문가들 사이에서는 그리 활발한 연구와 분석이 이뤄지지는 않았다. 게다가 상금 금액도 낮아 보안 전문가들은 애플 제품에서 발견한 취약점을 다른 곳에 팔기도 했다.

[이미지 = iclickart]


애플은 이번에 시작하게 된 공개 버그바운티 프로그램에 “애플 보안 바운티(Apple Security Bounty)”라는 이름을 붙였다. iOS, 아이패드OS, 맥OS, tvOS, 왓치OS, 아이클라우드에서 마음껏 취약점을 찾아내 애플에 알려주는 전문가들에게 일정 금액의 상금을 지불한다는 것이 이 프로그램의 골자다.

애플은 애플 보안 바운티를 발표하며 “애플은 항상 보안 강화에 헌신적으로 임해온 회사”라고 운을 뗐다. 그러면서 “애플의 제품을 익스플로잇 할 수 있게 해주는 여러 가지 기술과 방법들, 또한 그런 익스플로잇의 빌미가 되는 취약점들을 우리에게 공유하는 전문가들에게, 합당한 보상을 하려고 한다”고 말했다. “이를 통해 고객들에게 더 안전하고 유용한 서비스를 제공하기 위함”이라는 설명도 덧붙었다.

버그바운티 상금이 낮은 것으로 악명이 높았던 애플은 치명적인 위험도를 가진 취약점에 대해 최대 100만 달러까지 보상할 계획이다. 특히 사용자의 특정 행위(클릭이나 문서 열기 등)를 유도하는 절차 없이 커널 층위에서 코드를 실행할 수 있게 해주며, 공격 지속성까지 확보해주는 취약점에 대해서 최고의 상금이 수여될 것이라고 한다.

가장 낮은 상금은 10만 달러가 될 예정이다. 아이클라우드의 계정 정보에 승인 과정을 거치지 않고 접근하는 데 성공하거나, 잠금 화면을 뚫어내거나, 사용자가 설치한 앱을 통해 민감한 데이터로의 접근에 성공할 경우 이 상금을 받을 수 있다.

피해자가 한 번 클릭하도록 유도함으로써 공격자가 민감한 정보에 접근 가능하게 해주는 네트워크 공격의 경우 최대 15만 달러까지 얻을 수 있다. 피해자가 한 번 클릭하도록 함으로써, 공격자가 커널 층위에서 코드 실행까지 성공하게 된다면 최대 25만 달러의 상금을 받는다. 클릭을 한 번도 하지 않은 익스플로잇은 25만~100만 달러로서의 가치를 갖는다.

또한 애플은 보안 전문가들이 50%의 보너스를 획득할 수 있다고도 발표했다. “특정 개발자용 베타 버전이나 공개 베타용 버전에서 발견되었으며, 애플이 이전까지 모르고 있었던 취약점”이 이 경우에 해당한다. 취약점 자체에 대한 상금에 더해 50%를 얹어서 받게 된다.

버그바운티에 참여하는 보안 전문가들이라면 보고서와 함께 개념증명 익스플로잇도 함께 제출해야 한다. 애플이 공개하기 전에 취약점 내용을 미리 발표하는 것도 안 된다. “제출되는 개념증명 익스플로잇의 경우 기본 개념만 갖춘 것으로는 상금의 절반밖에 얻질 못하게 됩니다. 반드시 실행 가능한 익스플로잇이어야 합니다. 취약점 보고서에도 충분한 정보가 담겨 있어야만 합니다.”

일부 보안 전문가들은 이런 애플의 조건에 “지나치게 까다롭다”고 불만을 토로했다. “보고서도 논문 수준으로 훌륭해야 하지, 익스플로잇도 작동이 실제로 되는 것이어야 하지... 사실상 최대 상금을 타갈 사람은 매우 적을 것으로 보입니다.” 한 익명의 보안 전문가가 SNS를 통해 토로한 내용이다.

또한 애플의 보안 팀이 아직까지도 외부에서 들어오는 보고서를 제대로 접수하지 않는다는 불만이 나오기도 했다. “몇 달 전 버그와 관련된 보고서를 제출했었지만, 아직까지도 ‘더 확인할 내용이 없다. 추가로 소식이 나오는 대로 알려주겠다’는 똑같은 답만을 계속해서 받고 있습니다. 버그바운티 설명만 들어보면 대단히 매력적으로 보이는데, 실제 매력적으로 진행될지는 잘 모르겠습니다.”

3줄 요약
1. 버그바운티에 있어서는 구두쇠로 유명한 애플, 드디어 공개 버그바운티 시작.
2. 최대 상금과 최저 상금도 대폭 올라가 많은 전문가들의 관심 끄는 데 성공.
3. 하지만 ‘보고서와 익스플로잇 질이 높아야만 최대 상금 준다’는 조건이 불만을 사고 있음.
[국제부 문가용 기자(globoan@boannews.com)]

<저작권자: 보안뉴스(www.boannews.com) 무단전재-재배포금지>