2019-10-22 12:12 (화)
보안 기업들 버그바운티 증가…취약점 공개 정책은 여전히 부족
상태바
보안 기업들 버그바운티 증가…취약점 공개 정책은 여전히 부족
  • hsk 기자
  • 승인 2017.07.02 20:11
이 기사를 공유합니다

MS-100.jpg
가장 큰 규모로 알려진 버그바운티 업체 ‘해커원(HackerOne)’이 공개한 보고서에 따르면, 보안에 대한 인식이 있는 일부 기업에서 해커들에게 연간 최대 90만달러(약 10억원)를 수여한다고 한다.

HackerOne은 버그바운티와 취약점 공개 플랫폼 제공 업체로 해커 인력을 활용한 800개의 프로그램을 운영하고, GitHub, General Motors, Intel, Lufthansa, Nintendo, Uber, 美국방부 등에서 5만개의 취약점을 찾아냈다.

버그바운티 현상금은 증가하고 있다. 2017년에 심각한 취약점을 찾아낸 해커에게 지급한 금액은 평균 1,923달러로, 2015년 1,624달러에 비하면 16%, 약 300달러 상승한 금액이다. 해결된 취약점의 32%가 심각한 취약점으로 분류되었고, 한 개 리포트에 대한 최고 보상금은 3만달러이다. 작년에는 88개 버그에 대한 보상금이 1만달러를 넘었었다.

가장 수익성이 높은 버그바운티 프로그램은 연구원들에게 월 평균 5만달러, 연간 90만달러를 지불하고 있다. HackerOne에 따르면, 제출된 취약점을 보고, 유효성을 확인하고, 패치하는 프로그램이 연구원들의 가장 많은 주목을 받는다고 한다. 또한 전자 상거래 및 소매업이 4주 내에 보안 문제를 해결하여, 가장 빠른 속도로 패치된 다는 사실도 밝혀졌다.

그러나 증가하는 버그바운티 프로그램 채택과 정부 기관들의 권고에도 불구하고, 상위 94%의 상장 기업들이 취약점 공개 정책이 없으며 이러한 상황은 2015년부터 변하지 않고 있다.

★정보보안 대표 미디어 데일리시큐!★