[박춘식 교수의 보안이야기] 미국 페이스북(Facebook)이 자사 사이트의 취약성을 발견한 해커에게 보수를 지급하는 ‘버그(Bug) 현상금 프로그램’을 시작한 지 불과 3주가 경과, Facebook이 지출한 상금은 4만 달러를 초과하였다.
(사진출처. www.flickr.com / by owenwbrown)
 
Facebook은 지난 8월 29일, 이 프로그램은 큰 성공을 거둬, 전세계 시큐리티 연구자를 동원해서 Facebook.com을 보다 안전한 사이트로 될 수 있게 했다고 말하였다.
 
“우리들은 이전부터 수많은 시큐리티 전문가와 교류가 있었으며 상호협력 관계를 구축해왔다. 단지 이번 프로그램은 지금까지 친숙하지 않았던 것으로, 폭발적으로 늘어나고 있는 계층과의 대화의 단서를 열어 주었다. 그들은 터키나 폴란드 등 세계 16개국에서 활동하며 인터넷 시큐리티에서 열정을 쏟고 있다”고 Facebook 측은 밝혔다.
 
글로벌 기술기업들은 수 년 전부터 해커가 찾은 버그를 성급하게 공개해 범죄자에게 악용되는 것을 막기 위해 어떠한 취약점이라도 비밀리에 보고하도록 하여 보수를 지불하기 시작했다.
 
미국 구글(Google)이나 미국 모질라(Mozilla) 등도 이러한 버그 현상금 프로그램을 실시하고 있다. Facebook에서는 버그 1개의 현상금은 500 달러로 되어있지만 특수한 문제에 대해서는 보다 고액인 보수를 지불하고 있다.
 
예를 들면 아주 유익한 보고를 해 온 해커에게는 5,000달러를 지불하였다고 말하고 있다. 그 외에도 6개의 서로 다른 시큐리티 문제에 대해서 경고해 준 연구자에게는 7,000 달러의 보수를 지불한 것으로 알려졌다.
 
페이스북은 “이러한 대처 외에, 단순하게 주목을 받고 싶은 무리가 제공하는 허위 보고에도 대처하지 않으면 안되었다”라고 말했다.
 
이처럼 페이스북은 자사의 버그 현상금 프로그램을 자랑하고 있지만 제3자가 개발하고 있는 무수한 페이스북 어플리케이션에 이것을 적용하는 움직임은 보이고 있지 않다.
 
이에 대해 페이스북측은 “유감이지만 그러한 시도는 현실적이지 않다”고 답했다.
[박춘식 서울여자대학교 교수]