메신저 '라인'이 지난해 취약점 발견자에게 2만7천달러(약 3천102만원) 보상금을 지급했다. 최근 라인 측이 공개한 2016년 '라인 시큐리티 버그 바운티 프로그램' 운영 결과다. 회사는 그간의 운영 경험과 성과를 소개하고, 상시 프로그램 대상 확대 가능성을 내비쳤다. 여타 글로벌 IT업체들처럼 외부 보안 전문가의 힘을 활용해 보안성을 높이겠다는 의지다.
버그 바운티는 IT회사가 자사 서비스나 제품의 보안 취약점 발견자에게 보상금을 지급하는 프로그램을 가리킨다. 이 프로그램으로 구글은 2010년부터, 페이스북은 2011년부터, 마이크로소프트(MS)는 2013년부터 각각 다양한 버그 바운티 프로그램을 운영하며 그 서비스와 제품의 보안을 강화하며 보안 문제를 해결하고 있다는 게 라인 측 설명이다.
버그 바운티라는 용어와 개념은 한국의 기업이나 일반인에게 낯설다. 한국인터넷진흥원이 4년 넘게 운영해 온 '소프트웨어(SW)보안취약점신고포상제'가 버그 바운티 프로그램과 유사하다. 다만 이는 정부 산하기관이 직접 운영하고 있다는 게 특징이다. 버그 바운티 프로그램을 MS, 구글같은 다국적IT업체들처럼 자체 운영하는 라인의 사례는 한국에서 이례적이다.
[☞관련기사: 방통위, 해킹 취약점 ‘신고포상제’ 도입]
[☞관련기사: "SW취약점 신고 포상제, 민간 기업 참여 늘리겠다"]
[☞관련기사: KISA, 공인인증서 액티브X SW취약점 신고자에 시상]
라인은 버그 바운티 프로그램 운영 성과를 긍정적으로 판단, 시행 범위 확대를 염두에 두는 분위기다. 한국 기업들도 한국인터넷진흥원이 운영중인 신고포상제와 별개로, 외부에서 발견된 IT제품이나 SW의 보안취약점 제보를 껄끄러워 하기보다 그런 관심과 지원을 긍정적으로 활용할 수 있는 방향을 고려해야 할 것으로 보인다.
■2015년 하반기 시범 운영…"1개월간 194건 접수, 14건 인정"
라인 역시 이런 취지로 2년전 하반기 중 한시적으로 버그 바운티 프로그램을 시범 운영했다. 2015년 8월초 공지를 통해, 24일부터 9월 23일까지 메신저 앱 라인의 취약점을 찾아 보고한 사람들에게 보상금을 지급하겠다고 예고했다. 내부 심사기준을 세워 보고된 취약점을 검토하고, 유형별로 1건당 500달러부터 2만달러 이상을 최소 금액으로 지급한다고 밝혔다.
[☞참조링크: LINE Bug Bounty 소개 ≪ LINE Engineers' Blog]
1개월간 시범 진행된 라인 버그 바운티 프로그램의 운영 결과는 2015년 12월 공개됐다. 라인 버그 바운티 접수폼을 통해 접수된 버그는 194건이었다. 일본에서 89건, 미국, 인도 등 그외 지역에서 105건이 접수됐다. 1명이 최대 16건을 보고한 사례가 있었고, 10명이 각각 5건 이상을 보고하기도 했다.
라인 측은 1차로 보안 취약점에 관한 적절하고 충분한 설명이 있었는지, 2차로 취약점이 재현 가능한지 등을 심사했다. 보고된 사례 가운데 크로스사이트스크립팅(xss)과 크로스사이트리퀘스트포저리(CSRF) 등 14건을 취약점으로 인정, 보상금을 지급하기로 했다. 공지된 프로그램 대상 범위는 아니었지만 라인 측에 유리한 정보로 판단된 사례는 따로 보상하기로 했다. 심사결과를 '명예의 전당' 사이트에 게재했다.
[☞참조링크: LINE Bug Bounty 결과 ≪ LINE Engineers' Blog]
[☞참조링크: 2015 Hall of fame
■2016년 6월부터 상시 운영…"7개월간 97건 접수, 13건 인정"
라인은 먼젓번 경험을 바탕으로, 기존 운영 방식을 개선한 버그 바운티 프로그램을 '라인 시큐리티 버그 바운티 프로그램'이라 개칭하고 2016년 6월 2일부터 상시 운영하기 시작했다. 라인 보안 담당 엔지니어 이명재 씨가 지난 8일 공식 엔지니어 블로그 포스팅을 통해 상시 운영 결과를 설명했다.
[☞참조링크: 2016년 LINE Security Bug Bounty Program 결과와 상시운영 소개 ≪ LINE Engineers' Blog]
[☞참조링크: 2016 Hall of fame
지난해 상시 운영한 2016년 6월 2일부터 12월 31일까지 약 7개월간 취약점 97건이 접수됐다. 일본에서 15건, 한국 및 다른 국가에서 82건이 접수됐다. 접수된 유형별 취약점 비중은 xss, 인증(Authentication), CSRF, 결제(Purchase), 암호화(Encryption), 원격코드실행(RCE) 순으로 많았다.
관련기사
- 페이스북, 5년간 보안취약점 현상금 56억원 지급2017.02.14
- MS, 닷넷코어 취약점 잡기...새 버그바운티 프로그램 시동2017.02.14
- "SW취약점 신고 포상제, 민간 기업 참여 늘리겠다"2017.02.14
- KISA, IoT 취약점 신고포상제 운영2017.02.14
상시 운영된 라인 시큐리티 버그 바운티 프로그램 역시 접수된 내용을 1, 2차로 심사했다. 심사 결과 2만7천달러 보상금을 책정케 한 xss와 CSRF 등 13건이 취약점으로 인정됐다. 이번에도 버그 바운티 프로그램 대상 범위를 벗어나지만 라인 측에 유익하다고 판단된 정보는 '특별공헌자(Special Contributors)'로 별도 분류돼 보상금이 지불됐다고, 이명재 씨는 설명했다.
이 씨는 "라인 시큐리티 버그 바운티 프로그램은 라인의 보안 리스크를 줄일 수 있는 프로그램"이라며 "더욱 양질의 프로그램으로 확장, 발전시키도록 노력하겠다"고 말했다. 이어 "라인이 제공하는 서비스의 수도 늘어 글로벌 확장하는 상황"이라며 "우선적인 과제로 프로그램 대상 확대를 검토 중이니 관심을 가져 달라"고 덧붙였다.