구글이 모든 취약점 보상 프로그램(VRP)을 하나로 통합해 호스팅하도록 설계된 새로운 플랫폼과 커뮤니티를 발표했다.
브리핑컴퓨터 보도에 따르면, 10여 년 전에 첫번째 VRP를 출시한 이후로 이 회사는 11,000개 이상 버그를 보고한 전 세계 84개국 2,022명 보안 연구원들에게 보상금을 지급했다. 구글은 크로미움 취약점 보상 프로그램을 시작한 2010년 1월 이후 연구원들이 약 3천만 달러를 보상받았다고 설명한다.
구글 VRP를 통해 적격한 취약점에 대해 지불되는 보상 금액은 100달러에서 31만달러지만 익스플로잇 체인의 경우 총 금액이 크게 증가할 수 있다. 구글 픽셀 3 기기를 타깃으로 하는 원격 코드 실행 익스플로잇 체인을 보고한 360 Alpha Lab의 Guang Gong 연구원에게 20만 달러 이상을 지급한 것이 그 예시다. 이는 단일 보상금 규모 중 가장 크다.
구글은 “창립 기념일을 축하하고, 향후 10년이 그만큼 또는 그 이상 성공적이고 협력적인 해가 되도록 만들기 위해 새로운 플랫폼 bughunters.google.com을 발표하게 되어 기쁘다. 이 신규 사이트는 단일 접수 양식을 제공해 모든 VRP(구글, 안드로이드, Abuse, 크롬 및 구글 플레이)를 더 가깝게 만들고, 버그 헌터가 이슈를 더 쉽게 제출할 수 있도록 한다”고 설명한다.
이들에 따르면 새로운 VRP 플랫폼은 연구원들에게 국가별 순위표, 게임화를 통한 건전한 경쟁, 특정 버그에 대한 상/배지, 그리고 상호작용을 위한 더 많은 기회를 제공한다.
구글은 또한 버그헌터가 자신의 기술을 연마하거나 학습을 시작할 수 있는 Bug Hunter University를 설립했다. 회사 측은 오픈소스 소프트웨어 용으로 제출된 패치도 오픈소스 프로젝트 보안에 관한 연구 논문처럼 보상 받을 수 있다고 설명한다.
덧붙여 “처음부터 VRP 프로그램은 보고 규모에서 크게 성장했을 뿐만 아니라 보안 엔지니어 팀의 확장도 이끌었다. 여기에는 취약점 보고를 통해 구글 VRP 팀에 합류하게 된 약 20명의 연구원들이 포함된다. 이것이 바로 구글이 새로운 플랫폼을 제공하고 지속적으로 버그헌팅 커뮤니티를 성장시키며, 유망한 취약점 연구원의 기술 개발을 지원하는 이유이다”라고 말했다.
★정보보안 대표 미디어 데일리시큐!★