2019-12-11 17:30 (수)
구글 “타이탄 M 보안칩 해킹에 17억원 이상 버그바운티 지불하겠다” 발표
상태바
구글 “타이탄 M 보안칩 해킹에 17억원 이상 버그바운티 지불하겠다” 발표
  • 페소아 기자
  • 승인 2019.11.22 17:41
이 기사를 공유합니다

"익스플로잇 체인이 안드로이드 프리뷰 버전에서 작동한다면 최대 150만 달러 지불"

구글이 버그바운티 비용으로 약 17억원 이상을 지불하겠다고 밝혔다.

구글은 안드로이드 운영체제에서 새로운 ‘타이탄 M 보안칩’을 손상시킬 수 있는 버그를 발견하고 보고한다면 최대 150만 달러(약 17억 6천700만원)의 버그바운티를 지불하겠다고 발표했다.

작년에 공개된 타이탄 M칩은 현재 구글 픽셀 3 및 픽셀 4기기 에 모두 포함된 별도의 칩으로 검증된 부팅, 온디바이스 디스크 암호화, 잠금 화면 보호, 안전한 거래 등과 같은 민감한 데이터 및 프로세스 처리 전용으로 사용된다.

구글은 만약 연구원들이 타이탄 M에 의해 보호되는 데이터를 손상시키는 "지속성을 가진 풀체인 원격 코드 실행 익스플로잇"을 발견한다면 그것을 찾은 연구원에게 최대 100만 달러를 기꺼이 지불할 것이라고 밝혔다.

익스플로잇 체인이 안드로이드 프리뷰 버전에서 작동한다면 보상은 최대 150만 달러에 이른다.

구글은 안드로이드 운영체제가 실제 기기에 탑재되기 전에 회사가 버그를 수정할 수 있으므로 프리뷰 버전에 대한 버그에 더 큰 보상금을 지불하려 한다.

구글의 이러한 움직임은 제로디움이 안드로이드 버그에 대한 현상금을 250만 달러로 올리면서 안드로이드 버그가 iOS 익스플로잇보다 처음으로 더 가치가 있어지면서 생겨난 것이다. 제로디움의 CEO인 차오키 베크라(Chaouki Bekrar)는 구글이 안드로이드에 추가한 보안 기능으로 인해 해킹이 어려워지면서 보상금을 늘렸다고 설명했다.

최근 발표에 따르면 구글은 전체 안드로이드 VRP(Vulnerability Rewards Program)에 대한 버그바운티 보상금을 전반적으로 증가시켰다.

현재까지 최대 보상금은 "TrustZone 또는 확인된 부팅 손상을 초래하는 원격 익스플로잇 체인"에 대한 20만 달러였다. 2015년에 안드로이드 VRP가 시작된 이후 아무도 최고 보상을 얻지 못했으며 타이탄 M 칩에 대한 해킹을 할 수 있을 가능성도 낮은 편이다.

공격자가 장치에 물리적으로 접근하지 않고 작동하는 원격 악용은 네트워크 프로토콜과 같은 대부분의 공격 경로가 막혀 있기 때문에 작성하기 어렵다. 공격자/연구원이 원격 공격을 찾더라도 부트 지속성을 얻는 것은 아무도 크래킹하지 못한 또 다른 중요한 장애물이다.

구글 대변인은 "우리는 두 번의 완벽한 풀체인 원격코드 실행 취약점을 보았다"라며 "이 둘은 모두 같은 연구원에게 나왔다. 제출된 다른 익스플로잇 체인들은 대부분 원격이 아닌 로컬이다"라고 설명했다.

이 연구원은 중국 치후 360의 알파랩(Alpha Lab) 소속인 구앙 공(Guang Gong)이다. 두 RCE 익스플로잇 체인중 하나는 2018년 가장 큰 버그 보상을 받았다.

구글은 "이 보고서는 픽셀 3 기기에서 최초로 보고된 1-클릭 원격 코드 실행 익스플로잇 체인을 상세하게 설명했다. 구앙 공은 안드로이드 보안 리워드 프로그램에서 16만1,337달러, 크롬 보상 프로그램에서 총 4만달러로 총 20만1,337 달러를 받았다. 20만1,337 달러의 통합 보상은 모든 구글 VRP 프로그램에서 단일 익스플로잇 체인에 대한 최고 보상이다."라고 말했다.

그러나 구글은 타이탄 M 원격 해킹에 150만 달러의 보상을 제공하고 전반적으로 버그바운티를 늘리는 것 외에도 또 다른 버그 보고 범주를 추가하고 있다. 그들은 버그의 복잡성에 따라 데이터 유출 및 잠금 화면 우회와 관련된 버그 보고서에 최대 50만 달러를 지불할 의사가 있다고 밝혔다.

버그 보상금 지급을 늘리려는 구글의 의지는 확실히 안드로이드가 해킹하기 어렵다는 사실에 대한 확신에 뿌리를 두고 있다.

구글은 시장에서 버그 보상금을 가장 많이 지불한 회사중 하나다. 2015년 안드로이드 VRP가 출시된 이래 구글은 연구원들에게 450만 달러를 지불했으며 지난 12개월 동안 150만 달러를 지불했다.

구글 측은 "100 명 이상의 연구원들이 참여했고 1년에 평균 3,800달러 이상의 보상금을 받았다. 지난 해보다 46%증가한 수치다. 이는 평균적으로 연구원당 1만5,000달러 이상을 지불했다"고 밝혔다.

★정보보안 대표 미디어 데일리시큐!★