최근 스마트폰이 급속하게 보급되면서 스마트폰에 바이러스, 악성코드를 전송해 해킹하는 사례가 늘고 있다.
특히 ‘주디(judy)’라는 악성코드가 3650만명이 소유한 안드로이드폰을 감염시켜 피해가 발생하고 있다.
이에 대해 구글은 안드로이드 시스템 보안 결함을 신고한 사람에게 최대 20만 달러를 지불할 것이라고 밝혔다. 구글은 이전에도 현상금 제도를 통해 보안 결함 사례를 수집했으며 현재까지 150만 달러를 지불했다.
구글의 안드로이드를 공격하는 주디는 보안 연구 업체인 체크포인트(CheckPoint)에 의해 발견되었다.
이 악성 코드는 구글 플레이스토어에서 41개 이상의 앱을 감염시켰다. 체크포인트는 코드가 2016년 4월 이후 일부 앱에 숨겨져 있었으며 구글이 이를 발견하지 못했다고 전했다.
구글은 감염된 앱을 플레이스토어에서 제거한 상태다.
안드로이드는 컴퓨터 보안 전문가들 사이에서 보안이 허술한 것으로 알려졌다. 소프트웨어 엔지니어 및 보안 연구원을 끌어 들이기 위해 구글은 발견된 결함의 심각성에 따라 "버그 현상금" 프로그램의 보상 가치를 최대 20만 달러까지 올렸다.
보상금은 두 가지 종류의 현상금이다: 하나는 트러스트존(TrustZone) 또는 AVB(Android Verified Boot)의 취약성에 대한 현상금이고 다른 하나는 원격 Linux 커널 익스플로잇에 대한 것이다.
트러스트존은 Linux 익스플로잇보다 더 큰 관심사이며, 바이오 메트릭 데이터, DRM 및 부팅 설정이 신뢰할 수있는 안전한 환경에서 유지되도록 보장하는 칩셋 관련 기술이다.
AVB는 장치가 시작될 때마다 OS가 변경되지 않았음을 확인하는 소프트웨어다.
구글 뿐만 아니라 애플, 페이스북, 마이크로소프트 등의 다른 소프트웨어 업체들도 버그 현상금 제도를 운영하고 있다.