최근 구글 크롬과 모질라 파이어폭스 취약점 제보 프로그램에 대해 상세하게 분석한 연구 논문이 발표됐다.
 
이번 연구는 UC버클리대학교 컴퓨터과학과에서 진행한 것으로 발표된 논문은 전세계 정보보호 학회 탑티어 컨퍼런스 중 하나인 USENIX 시큐리티 심포지움에서 다뤄질 예정이다.
 
논문에 따르면, 보안 연구원이 소프트웨어 벤더 제품 취약점을 발견했을 때, 이를 외부에 공개하지 않고 벤더에 우선적으로 제보해 이에 대한 금전적 보상을 받는 프로그램을 취약점 보상 프로그램(VRP) 또는 버그 바운티 프로그램이라고한다.
 
최근 몇 년간 취약점 보상 프로그램은 여러 벤더 사이에서 신설되고 있고 기존 규모도 점차 확대되고 있는 추세다.
 
그러나 대표적으로 애플, 어도비, 오라클은 취약점 보상 프로그램을 운영하지 않고 있는데 여기에는 여러 이유가 있다. 이 중에는 블랙마켓에서 취약점을 이용한 익스플로잇의 거래 가격이 취약점 보상 프로그램에서 제공하는 것보다 더 높은 경우도 있어 벤더 입장에서 취약점 보상 프로그램이 과연 실효성이 있는지 알 수 없기 때문이기도 하다.
 
이번 연구에서는 구글 크롬 브라우저와 모질라 파이어폭스 브라우저의 취약점 보상 프로그램만을 대상으로 조사했으며 이는 오늘날의 악성코드 활동이 브라우저 취약점을 이용한 것이 맣고 두 취약점 보상 프로그램이 전세계 많은 보안 연구가들이 참여하는 가장 대표적이며 잘 운영되고 있기 때문일 것이다.
 
이 연구의 목적은 소프트웨어 개발 및 운영 단계에서 취약점 보상 프로그램의 유용성과 그 효과를 수치적으로 입증하기 위해서라고 한다.
 
구글 크롬 취약점 보상 프로그램은 2010년 1월에 시작했고 모질라 파이어폭스 취약점 보상프로그램은 2004년에 시작해 가장 오래 유지되고 있는 프로그램 중 하나다.

 
구글은 최근 3년간 크롬 취약점 보상 프로그램을 통해 총 501개의 취약점 제보를 받아 58만달러를 보상금으로 지급했고 이 기간 크롬 패치의 28%는 취약점 제보에 의한 것이었다.
 
모질라는 최근 3년간 파이어폭스 취약점 보상 프로그램을 통해 총 190개 취약점을 제보받아 57만달러를 보상금으로 지급했다. 이 기간 파이어폭스 패치의 27%는 제보에 의한 것으로 조사됐다.
 
한편 구글 크롬 안정 버전 내에서 취약점 보상 프로그램을 통해 발견된 취약점 개수는 371개였고 구글 내 보안팀 연구원이 발견한 취약점 개수는 263개였다.
 
모잘라 파이어폭스 안정 버전 내에서 취약점 보상 프로그램을 통해 발견된 취약점 개수는 148개였고 모질라 내 보안팀 연구원이 발견한 취약점 개수는 48개였다.
 
따라서 일반적으로 미국 브라우저 보안팀 직원 하루 일당이 약 500달러인 것을 고려했을 때 취약점 제보 프로그램을 운영하는 것이 내부에 보안 취약점 전문가 한명을 고용하는 것 보다 경제적 측면에서 더 효율적일 수 있는 것으로 조사됐다.
 
구글과 모질라의 취약점 보상 프로그램 비교 분석에 대한 자세한 내용은 HNS 블로그(blog.hacknsecurity.com)와 데일리시큐 자료실에서 다운로드 가능하다.
 
데일리시큐 길민권 기자 mkgil@dailysecu.com