check 3d gpu
바로가기
메뉴로 이동
본문으로 이동

중국 드론 제작업체 DJI, 수천 달러 걸고 버그바운티 시작

페소아 기자 mkgil@dailysecu.com 2017년 08월 31일 목요일

dr.jpg
중국의 드론 제작업체인 DJI는 드론 소프트웨어에 대한 버그 리포트를 제출하는 연구원에게 수천 달러를 제공하는 버그바운티 프로그램을 시작했다.

올해 초부터, DJI는 Ronin 및 X5 드론 등의 제품의 펌웨어를 변경하여 비행 금지 구역, 고도 및 속도 제한을 우회하는 사용자들과의 끊임없는 대립상태에 있어 왔다. Pastebin에서부터 Facebook 토론 그룹에 이르기까지 많은 커뮤니티에 NFZ(Non Fly Zone)을 포함하여 공항이나 군기지 같은 곳에 대한 비행 방지를 위해 존재하는 DJI 제한을 우회하는 방법들이 널리 퍼져있다. 일부 고객들은 쓸데없이 NFZ이 막혀있다고 비난하며, 커뮤니티에서 제공되는 NFZ에서 부터 비행제한에 이르는 모든 것을 비활성화 시키는 소프트웨어 팩을 사용하기도 한다. 이러한 경향은 드론 제조사에게 끊임없는 위협이다. 예를 들어 드론 중 하나가 NFZ 지역의 비행기와 충돌하는 경우가 발생할 수 있다.

거기에 DJI 제품에 대한 미군의 금지가 강해지면서 회사가 보안 문제를 제대로 다룰 때까지 DJI의 명성과 재정적인 부분에 피해가 가게 되었다.

이러한 상황에서 DJI는 새로운 버그바운티 프로그램을 시작하였고, 이 프로그램은 취약점의 심각도에 따라 $100에서 $30,000의 보상을 제공한다. 이 프로그램에 대해 해당 회사는 소프트웨어 보안에 영향을 미칠 수 있는 문제를 발견, 공개 및 수정하기 위한 연구원 및 다른 사람들의 협력 수단으로 설명하고 있다.

DJI의 기술표준책임자인 월터 스톡웰(Walter Stockwell)은 “보안 연구원, 학자 및 독립 전문가들이 DJI의 앱 및 기타 소프트웨어 제품의 코드를 분석하고 대중의 관심을 끌기 위해 가치있는 서비스를 제공한다. DJI는 제품을 개선하기 위해 끊임없이 노력하면서 경험을 통해 배우기를 원하며 발견된 제품에 대한 보상을 기꺼이 지불한다”라고 설명했다. 또한 그는 "우리는 연구 공동체와 협력하고 개선이라는 공통의 목표를 가지고 합리적으로 대처하기를 원한다. 고객이 안정적이고 신뢰할 수 있는 DJI 제품을 사용할 수 있도록 도와주는 연구원들의 의견을 소중히 다루겠다"라고 덧붙였다.

이와 더불어DJI는 커뮤니티에서 사용되고 있는 버그들에 액세스할 수 있는 인프라를 서둘러 구축했다. 그리고 지금까지 연구원들이 버그를 보고할 수 있는 환경이나 지침, 절차가 없었다고 인정했다.

DJI는 현재 이 프로그램의 약관이 포함되어 있는 웹사이트를 운영하고 있지만, 아직은 연구원들에게 연구 내용을 bugbounty@dji.com으로 보고하도록 요청하고 있다.

★정보보안 대표 미디어 데일리시큐!★


<저작권자 © 데일리시큐, 무단 전재 및 재배포 금지>
목록