2020-02-17 07:25 (월)
버그 바운티 활성화 필요해...“비용 절감 효과 높다!”
상태바
버그 바운티 활성화 필요해...“비용 절감 효과 높다!”
  • 길민권
  • 승인 2013.07.12 01:27
이 기사를 공유합니다

캘리포니아 대학, 구글과 모질라 연구 결과 발표
소프트웨어의 결함을 발견하는 해커에게 보상금을 지급하는 제도인 ‘버그 바운티(bug bounty)’를 도입하는 것이 이를 위해 정규 보안 전문가를 채용하는 것보다 최대 100배의 비용 절감 효과가 있는 것으로 나타났다.
 
구글과 모질라가 운영 중인 버그 바운티를 연구해 온 캘리포니아 대학은 두 업체가 지난 3년간 각각의 버그 바운티를 운영하는 데 약 40만 달러를 지출했고, 이는 동일한 수의 취약성을 발견하기 위해 직원을 고용하는 것보다 훨씬 적은 비용이 소요되는 것으로 조사됐다고 밝혔다.


<구글(파란선)과 모질라(빨간 점선)가 지급하는 보상금 추이. 출처: 캘리포니아 대학 보고서>
 
최근 보안 전문가들이 일정 금액을 받고 기업에 직접 버그를 보고하는 경향을 보임에 따라 기업들 사이에서 버그 카운티의 인기는 점차 증가하고 있으며, 취약성을 보고 받기 위해 기업들이 지불하는 금액은 해당 취약성의 심각성과 어느 기업이냐에 따라 수백 달러에서 수만 달러로 매우 다양해지고 있다.
 
구글은 대부분 3천 달러에서 5천 달러를, 그리고 때론 최대 2만 달러를 지불해 가장 큰 금액을 대가로 지급하고 있다. 특히, 피우니움 경연대회(Pwnium Contest)를 개최해 발견된 몇몇 주요 크롬 취약성에 대해 15만 달러를 보상금으로 지급하기도 했다.
 
구글은 여러 평가 기준에 따라 취약성 발견 보상금을 다양하게 지급하는 반면 모질라는 보다 적은 금액을 고정적으로 지급한다. 이와 같이 지급 방식은 다르지만 캘리포니아 대학의 연구진은 구글과 모질라의 두 보상금 제도가 보안 연구에 드는 비용을 절감하고 대량의 취약성을 발견하는데 효율적인 것으로 분석했다.
 
캘리포니아 대학의 ‘취약성 보상금 제도에 대한 실증적 연구(An Empirical Study of Vulnerability Reward Programs)’ 보고서에 따르면, 지난 3년간 구글은 크롬 VRP(취약성 보상금 제도)를 통해 약 58만 달러를 지불하고 총 501개의 취약성에 대해 보상금을 지급했으며, 모질라는 파이어폭스 VRP를 통해 약 57만 달러를 지불하고 총 190개의 취약성에 대해 보상금을 지급했다. 또 해당 기간 동안 수행된 크롬과 파이어폭스의 보안 패치 중 28%와 24%는 VRP를 통해 이뤄졌다.
 
이러한 보상금 제도가 성공적인 결과를 나타냄에 따라 다른 업체들도 버그 바운티의 도입을 시도하고 있다. 몇 년 전 마이크로소프트의 관계자는 이러한 보상금 제도를 도입할 필요가 없다고 밝힌 바 있지만 지난 달 MS는 버그 바운티를 시작했다.
 
새롭게 출시된 윈도우에서 공격과 취약성을 방어하는 기능을 우회하는 기법을 발견하는 경우 높은 보상금을, 인터넷 익스플로러 11의 버그를 발견하는 경우 보다 낮은 보상금을 지급하는 방식으로 MS는 다른 전략을 펼치고 있다. MS의 버그 바운티가 자사에 도움이 되느냐의 여부는 차후 MS가 이 프로그램을 확대하느냐에 달려 있다.
 
데일리시큐 호애진 기자 ajho@dailysecu.com