2024-03-29 07:05 (금)
야후, 버그 보상금으로 12.5 달러 지급해 뭇매맞고 결국…
상태바
야후, 버그 보상금으로 12.5 달러 지급해 뭇매맞고 결국…
  • 호애진
  • 승인 2013.10.04 00:29
이 기사를 공유합니다

새 버그 바운티 프로그램 내놓아…150 달러에서 1만5천 달러에 이르는 금액 책정
최근 야후가 2개의 야후 도메인에 영향을 주는 XSS 취약점들을 발견한 보안 전문가들에게 취약점별로 12.5 달러의 보상금을 지급한 사실이 알려져 보안업계의 뭇매를 맞았다.
 
페이스북이나 구글이 수백 달러의 보상금을 지급하는 것과 달리 상당히 적은 금액일 뿐만 아니라 이를 야후 로고가 새겨진 티셔츠나 컵, 펜 등을 판매하는 야후 본사 스토어에서 사용 가능한 쿠폰으로 지급했기 때문이다.

 
 <하이테크 브릿지(High-Tech Bridge) 연구진이 발견한 야후의 XSS 취약점. 현재 해당 취약점은 패치가 된 상태다.> 
 
많은 시간과 노력을 기울여 취약점을 찾은 보안 전문가들에게는 허탈한 소식일 뿐이다. 이러한 사실이 알려지자 보안업계는 야후를 강하게 비판했다. 블랙마켓에서 취약점들이 높은 금액으로 공공연하게 거래되고 있음에도 불구하고 이를 외면하고 해당 기업에 알린 보안 전문가들의 노력과 수고를 낮게 평가한 야후에게 비난의 화살이 쏟아진 것이다.
 
그리고 지난 며칠간 뭇매를 맞은 야후는 결국 손을 들었다. 보안을 심각하게 받아들이고 있다는 것을 입증하기 위해 새로운 버그 바운티 프로그램을 내놓은 것. 이는 공식적으로 10월 31일부터 적용되지만, 7월 1일 이후로 보고된 취약점에 대해서도 똑같이 보상하겠다고 밝혔다.

 <야후는 자사 웹사이트를 통해 새로운 버그 바운티 프로그램을 발표했다. 게재된 글 제목은 ‘그래요. 제가 바로 감사의 의미로 티셔츠를 보냈던 그 사람입니다’로, 지난 며칠간 논쟁이 됐던 일에 대한 해명과 함께 새로운 프로그램에 대해 소개했다.>
 
우선, 야후는 취약점 보고 프로세스를 보다 쉽고 명확하게 진행시킬 수 있도록 새로운 웹사이트를 개설했으며, 보고된 취약점에 대해 보다 정확하고 신속하게 검토를 하는 한편, 이를 빠른 시일내 패치를 할 계획이다. 
 
또한 입증된 취약점을 보고한 개인이나 기업에게는 이메일이나 서면을 통해 늦어도 14일내로 연락해 이를 공식적으로 인정하는 절차를 밟을 방침이다. 개인의 경우 경력에, 기업의 경우 평판에 중요하게 작용한다는 사실을 염두에 둔 것이다.
 
금액적인 부분에서는 큰 변화가 이뤄졌다. 12.5 달러보다는 훨씬 높은 금액이 책정됐다. 야후는 향후 취약점을 발견한 보안 전문가 혹은 기업에게 취약점별로 150 달러에서 1만5,000달러에 이르는 금액을 지급하겠다고 약속했다.
 
데일리시큐 호애진 기자 ajho@dailysecu.com
■ 보안 사건사고 제보 하기

▷ 이메일 : mkgil@dailysecu.com

▷ 제보 내용 : 보안 관련 어떤 내용이든 제보를 기다립니다!

▷ 광고문의 : jywoo@dailysecu.com

★정보보안 대표 미디어 데일리시큐 / Dailysecu, Korea's leading security media!★