게이밍 네트워크인 엑스박스, 점점 더 노골적인 사이버 공격의 대상이 돼
MS는 원격 코드 실행 등 치명적인 위험으로 이어지는 취약점 찾는 버그바운티 시작

[보안뉴스 문가용 기자] 마이크로소프트가 목요일 새로운 버그바운티 프로그램을 시작한다고 발표했다. 바로 엑스박스(Xbox)에서의 버그바운티다. 마이크로소프트의 게임 플랫폼인 엑스박스에서 치명적인 위험도의 원격 코드 실행 취약점들을 발견하면 최대 2만 달러의 상금을 거머쥘 수 있게 된다고 한다.


마이크로소프트에 의하면 이번에 시작된 새로운 버그바운티 프로그램은 엑스박스 라이브(Xbox Live) 네트워크와 서비스들을 아우른다고 한다. 이 영역에서 XSS, CSRF, IDOR, 불안전 비직렬화, 주입, 서버 측 코드 실행, 보안 환경설정 오류, 취약한 요소들의 활용 등과 같은 문제들을 적발할 수 있기를 바란다고 발표했다.

위에 언급된 취약점들은 원격 코드 실행, 권한 상승, 보안 장치 우회, 정보 노출, 정보 스푸핑, 정보 조작, 디도스 등과 같은 공격을 할 수 있게 해준다. 하지만 디도스 공격을 유발하는 취약점은 이번 버그바운티 프로그램에서 제외된다.

반면 원격 코드 실행 오류를 찾아낸 해커들은 적게는 5천 달러, 많게는 2만 달러까지 받을 수 있다. 권한 상승을 유발시키는 취약점은 1천 달러에서 8천 달러까지의 가치를 가지고 있다고 MS는 발표했다.

상금 액수는 취약점 보고서의 질에 따라 결정될 예정이다. 예를 들어 원격 코드 실행 취약점의 경우, 취약점이 아무리 치명적이라 하더라도 제출된 보고서의 질이 낮으면 1만 달러까지밖에 받을 수 없다. 취약점의 위험도도 낮고 질도 낮으면 최저 상금만 겨우 받을 수 있을 뿐이다.

MS는 자사 블로그를 통해 “2002년부터 서비스를 시작한 엑스박스 네트워크는 현재 수천만 명의 사용자들이 접속하는 공간이 되었다”며 “게임에 대한 이용자들의 사랑과 애착을 안전하고 온전하게 지켜주고자 한다”고 이번 버그바운티 시작의 이유를 밝혔다.

“버그바운티라는 투자를 감행함으로써 보안을 강화하고, 숨겨져 있거나 아직 드러나지 않은 취약점들을 찾아내 수정하는 과정을 통해 보다 나은 서비스를 엑스박스 고객들에게 제공하고자 합니다. 최근 사이버 공격자들이 게이밍 네트워크를 노리는 경우가 많아, 물샐 틈 없이 막지 않으면 고객들에게 큰 피해가 발생하곤 하는데, 이런 현상을 철저히 막도록 하겠습니다.”

3줄 요약
1. 2002년부터 엑스박스 서비스 제공한 MS, 엑스박스 버그바운티 시작.
2. 디도스 공격 유발하는 취약점은 제외됨.
3. 원격 코드 실행 취약점 발견하면 2만 달러까지 받을 수 있음. 보고서 질 높아야 함.
[국제부 문가용 기자(globoan@boannews.com)]

<저작권자: 보안뉴스(www.boannews.com) 무단전재-재배포금지>