지난 2년 동안 페북 버그바운티에 참가해본 전문가들 전부 리그제에 편입돼
브론즈부터 다이아몬드까지...각 리그별로 차등해서 보너스와 특전 지급해

[보안뉴스 문가용 기자] 페이스북이 버그바운티에 ‘로열티’를 추가로 제공하겠다고 발표했다. 이는 보안 전문가들의 버그 사냥 및 취약점 발굴 활동을 더 활성화시킬 목적으로 고안된 것이라고 한다. 페이스북은 이것이 보안 및 버그바운티 업계 최초라고 자랑했다.


이 로열티 프로그램은 ‘해커 플러스(Hacker Plus)’라고 불린다. 취약점 발굴에 대한 상금에 더해 여러 특전이 주어진다. 일반 보안 전문가들이나 대중들에게 공개되지 않은 제품이나 서비스에 대한 접근권이 주어지며, 이를 통해 더 많은 상금의 기회를 제공하고 페이스북이 주기적으로 여는 행사들에도 초대할 예정이라고 한다. 버그바운티가 더 후해진 것이다.

페이스북의 보안 엔지니어인 댄 거핑켈(Dan Gurfinkel)은 자사 블로그를 통해 “해커 플러스의 목적은 페이스북의 버그바운티 프로그램을 위주로 보안 전문가들의 커뮤니티를 형성하는 것”이라고 밝혔다. 보안 전문가 개개인들에게는 더 많은 보상을 주고, 페이스북은 보다 많은 보안 전문가들을 확보하겠다는 것이다.

해커 플러스는 총 다섯 개의 ‘리그’로 구성될 예정이다. 브론즈 티어에서부터 시작해 실버, 골드, 플래티넘을 거쳐 다이아몬드 티어로 되어 있다. 페이스북은 자사 버그바운티 프로그램에 지난 24개월 동안 참여한 경험이 있는 전문가들을 보고서의 양과 점수를 기반으로 각 리그에 배치시켰다고 한다.

리그에 따라 주어지는 상품의 양과 질이 달라진다. 버그바운티 프로그램으로 내세우는 상금이 달라지는 건 아니다. 브론즈 티어의 전문가들은 표준 상금에 더해 5%의 보너스 등을 얻는다. 다이아몬드 티어의 경우 보너스가 20%에 달한다. 뿐만 아니라 다이아몬드에 소속된 전문가들은 페이스북이 주최하는 각종 해킹 행사에도 무료로 참여할 수 있게 된다.

페이스북은 “지난 2년 동안 한 번이라도 버그바운티 프로그램에 참여했고, 그 기준에 맞는 상금을 획득해본 사람이라면 누구나 해커 플러스에 참여할 수 있다”고 발표했다. 각 전문가들은 자신의 페이스북 프로파일 페이지를 통해 소속 리그를 확인할 수 있다. 또한 질 높은 버그바운티 보고서를 작성하면 티어가 올라갈 수 있다.

현재 보안 업계에서는 버그바운티에 대한 생각들이 이리 저리 갈리고 있다. 얼마 전까지 버그바운티에 대한 우호적인 목소리가 높았는데, 최근 버그바운티를 그저 마케팅의 일환으로만 사용하는 회사가 늘어난다는 비판이 나오기 시작했다. 이 때문에 조직의 보안을 본질적으로 강화하는 복잡한 프로세스는 뒤로 미뤄지고, 그 중 일부일 뿐인 취약점 발굴에만 신경을 쓰게 만든다는 것이다.

하지만 페이스북은 항상 페이스북에 우호적인 입장이었다. 2018년 페이스북은 서드파티 앱 개발자들의 데이터 남용이 사회적인 문제가 되자 이를 적발하기 위한 버그바운티를 시작하기도 했다. 또한 작년에는 페이스북 로그인 SDK에서 XSS 취약점을 발견한 보안 전문가에게 2만 달러라는 상금을 수여하기도 했다.

3줄 요약
1. 페이스북, 버그바운티 프로그램에 게임 랭킹 시스템 적용시킴.
2. 이제 보안 전문가들은 브론즈~다이아몬드 리그에 배치돼 보너스 받게 됨.
3. 질 높은 보고서 제출하면 할수록 리그 올라갈 수 있음.
[국제부 문가용 기자(globoan@boannews.com)]

<저작권자: 보안뉴스(www.boannews.com) 무단전재-재배포금지>