그 동안 취약점 하나 당 평균 2700달러 수여...이제부터는 최대 1만 달러까지
선착순 게임 되어버린 취약점 보고서 제출...72시간 내 제출된 중복 보고서는 인정

[보안뉴스 문가용 기자] 모질라(Mozilla)가 파이어폭스 브라우저에 대한 버그바운티 프로그램을 일부 변경하겠다고 발표했다. 변경 사항 중 보안 전문가들이 반길 만한 소식은, 상금 규모가 확대됐다는 것과 특수한 경우 똑같은 보고서를 두 번 접수하겠다는 것이다.


모질라는 2004년부터 버그바운티 프로그램을 진행해왔다. 2017년과 2019년 사이에는 약 350개 취약점에 대한 보고서를 접수하고 1백만 달러의 상금을 지출했다. 이 기간 동안 모질라가 책정한 취약점 하나의 상금은 평균 2700달러였고, 가장 빈번하게 지출된 금액의 단위는 4000달러였다.

하지만 이번 정책 변경을 통해 모질라는 가장 높은 위험도를 가진 취약점들을 발견할 경우 최대 1만 달러까지 상금을 수여하겠다고 발표했다. 제출되는 취약점 보고서의 수준이 높으면 높을수록 상금은 커질 예정이라고도 한다. 가장 높은 위험도를 가진 취약점은 샌드박스 탈출, 코드 실행, 웹엑스텐션(WebExtension) 설치 프롬프트 우회를 유발하는 것 등을 말한다.

그 외에 충격이 큰 취약점의 경우 3천~5천 달러 사이의 상금이 수여될 예정이다. 여기에 해당하는 취약점은 메모리 변경, 동일 출처 정책 우회 등 사용자의 데이터나 IP 등이 새나가도록 유도하는 오류나 문제들이다.

모질라는 자사 블로그를 통해 “최초 취약점 보고서 하나만으로 상금 여부나 규모가 결정되는 게 아니라는 걸 재차 강조한다”며 “취약점 내용을 접수 받고, 내부 개발자와 보안 전문가들이 검토와 상의를 거쳐 취약점의 심각성을 판단해 결정한다”고 알렸다. 그러면서 “가상의 공격 시나리오나 엔지니어 관점에서의 검토 등 취약점을 종합적으로 검토할 수 있게 해주는 자료가 많을수록 유리할 것”이라고 팁을 남겼다.

또한 모질라는 “특수한 경우 같은 취약점에 대한 보고서가 중복되더라도 접수한다”고 밝혔다. 거의 같은 내용의 취약점 보고서가 접수되는 건 버그바운티 세계에서 흔한 일이다. 특히 퍼징(fuzzing) 실험을 주로 하는 보안 전문가들이라면 단 수 시간 차이로 접수가 무산되기도 한다. 즉 ‘선착순 게임’이 되어버리는 경우가 다반사라는 것이다.

모질라는 같은 취약점 보고서들이 아주 짧은 간격을 두고 재차 접수됐을 때, 그리고 그 취약점이 상금을 받기에 충분하다고 판단됐을 때, 보고서를 제출한 전문가들에게 상금을 나눠서 주기로 결정했다고 발표했다. 여기서 말하는 짧은 간격이란 72시간을 말한다. 한 취약점에 대한 최초 보고서가 접수되고 72시간 안에 같은 내용의 보고서가 다른 전문가로부터 제출된다면 그것 역시 인정하겠다는 것이다.

보다 상세한 내용은 여기(https://blog.mozilla.org/security/2020/04/23/bug-bounty-2019-and-future/)서 열람이 가능하다.

3줄 요약
1. 모질라, 파이어폭스와 관련된 버그바운티 내용 일부 수정.
2. 버그바운티 상금이 일정 부분 상승하고, 중복 제출도 일부 인정.
3. 제출용 보고서 작성할 때 보다 입체적인 관점을 담아내는 것이 중요.
Copyrighted 2015. UBM-Tech. 117153:0515BC
[국제부 문가용 기자(globoan@boannews.com)]

<저작권자: 보안뉴스(www.boannews.com) 무단전재-재배포금지>