[아이뉴스24 최은정 기자] 최근 글로벌 IT기업과 재단 등이 연달아 버그바운티(bug bounty) 프로그램을 공개하고 있다.
버그바운티는 기업 서비스·제품의 보안 취약점을 찾아 신고하면 포상 하는 제도다. 기업이 보안 수준을 높이기 위해 일종의 집단지성을 활용하는 것. 취약점을 찾아 보완하게 된다.
14일 관련업계 등에 따르면 최근 마이크로소프트(MS)와 클라우드 네이티브 컴퓨팅 재단(CNCF)은 새 버그바운티를 발표했다.
MS는 '엑스박스(Xbox)'의 네트워크, 서비스 등 관련 보안 취약점을 찾으면 최소 500달러(한화 약 59만원)에서 2만달러(약 2천366만원)까지 포상한다고 밝혔다.
대상 취약점은 사이트간 스크립팅(XSS), 사이트 간 요청 조작(CSRF), 불안전 직렬화, 서버코드 실행, 보안설정 오류 등과 같은 요소들이다. 이들 모두 원격코드 실행, 보안 장치 우회, 정보 유출, 스푸핑 등과 같은 사이버 공격을 가능케 한다.
이와 관련 MS는 블로그를 통해 "고객 보안에 직접적이고, 명백한 영향을 미치는 취약점을 찾아내기 위한 것"이라며 "가장 최신 버전의 엑스박스 라이브에서 그동안 나오지 않았던 취약점이어야 한다"고 설명했다.
이어 "다만 디도스(DDoS) 등 일부 유형과 관련된 취약점은 다루지 않는다"고 덧붙였다.
CNCF도 지난달 쿠버네티스 환경에서 공공 버그바운티를 시작한다고 발표했다. 쿠버네티스는 컨테이너상 애플리케이션의 구축·배포·확장·운영·관리 등을 자동화하는 오픈소스 기반 시스템이다. 구글에서 처음 개발했으나, 현재 CNCF에서 관리중이다.
상금은 최소 100달러(약 11만원)~최대 1만달러(1천183만원)로, 쿠버네티스 코어, 소스코드, 디도스 공격 관련 취약점을 찾아야 한다. 버그바운티 전문 플랫폼 해커원을 통해 신고 보고서를 제출하면, 이를 CNCF가 평가할 예정이다.
CNCF는 해커원에서 "보고서 제출 후 영업일 기준 하루 안에 이에 답하고, 열흘 안에 심사할 예정"이라며 "이후 열흘 안에 포상금이 주어질 것"이라고 밝혔다.
--comment--
첫 번째 댓글을 작성해 보세요.
댓글 바로가기