애플이 보안 컨퍼런스인 블랙햇(Black Hat)에서 버그 포상금 프로그램을 발표했다. 이에 따르면 애플 제품에서 발견된 보안 취약점을 보고하면 중요도에 따라서 최대 20만 달러까지 포상금을 받을 수 있다.

페이스북이나 트위터 같은 기업도 이와 비슷한 보상 시스템을 채택하고 있다. 때로는 1만 달러가 넘는 고액의 보상을 받는 화이트 해커가 나오기도 한다. 하지만 애플은 지금까지 공식적으로는 버그 포상금 제도를 마련한 적이 없다.

애플 보안 기술 책임자인 이반 크르스틱(Ivan Krstic)는 블랙햇 기간 중 애플이 사내 테스터와 외주 보안 기업을 통한 디버깅 체제로는 취약점을 찾아내는 데 한계가 있다는 인식에 이르렀다고 설명하고 있다. 다만 9월부터 시작될 프로그램 초기에는 지금까지 애플의 취약점 발견에 협력한 경험이 있는 20여 명으로 참가자를 제한했다가 조금씩 참여 조건을 완화, 인원을 확대할 예정이라고 한다.





취약점 발견에 대한 보상은 취약점 보고를 받은 항목 중 가장 비싼 건 보안 부트 펌웨어 관련 취약점이며 최대 20만 달러다. 다음은 보안 엔클레이브 프로세서로 보호되고 있는 기밀 정보에 대한 접근으로 최대 10만 달러, 커널 권한으로 임의 코드를 실행하거나 아이클라우드 계정과 관련한 데이터를 부정 취득하는 건 최대 5만 달러, 샌드박스 과정에서 외부에 있는 개인 데이터에 대한 접근이 최대 2만 5,000달러다.

보안 기업인 시큐로시스(Securosis) CEO이자 iOS 보안 분석가인 리치 모걸(Rich Mogull)은 애플의 포상금 제도에 대해 자신이 아는 한 최대 규모 금액이 포함되어 있다고 설명했다. 트위터는 지난 2년 동안 버그 포상금으로 모두 32만 2,420만 달러를 지불했다. 페이스북은 사내 서버에 대해 접근 가능한 취약점, 인스타그램 취약점을 보고한 사람에게 1만 달러를 지불했다고 발표한 바 있다.

물론 포상금이 무조건 높은 게 좋은 것만은 아니다. 2015년 발생한 총기 난사 사건에선 범인 중 한 명이 소지하고 있던 아이폰5s 잠금 해제를 둘러싸고 FBI와 애플이 대립한 바 있다. 결과적으로는 FBI는 100만 달러가 넘는 돈을 지불하고 해커로부터 잠금 해제 방법을 입수했다. 100만 달러는 너무 큰 액수다. 포상금이 무조건 고액만 되어 버리면 화이트 해커는 물론 금액 여하에 따라선 뭐든 해주는 그레이 해커, 그러니까 현상금 사냥꾼이 될 가능성에 대한 지적도 나오고 있다. 관련 내용은 이곳에서 확인할 수 있다.

윤신철 칼럼니스트  creact17@gmail.com

<저작권자 © 테크홀릭, 무단 전재 및 재배포 금지>