인텔 프로세서나 마이크로소프트(MS) 오피스의 보안취약점을 찾아내면 상금을 받을 수 있는 기회가 마련됐다. 최근 두 IT거인이 자사 제품을 겨냥한 '버그바운티' 프로그램을 각각 운영하기로 했다고 발표했다.
버그바운티(Bug bounty)란, 기업이 자사 서비스나 제품의 취약점을 발견해 신고한 사람에게 보상금을 지급하는 일종의 현상 공모전이다. IT업체가 보안성을 높이기 위해 외부 전문가의 힘을 빌리는 수단으로 확산 추세다.
사이버보안 위협에 따른 피해 우려가 커감에 따라, 여러 다국적 IT기업이 버그바운티 방식으로 자사 제품의 보안 수준을 끌어올리는 추세다. 특히 인텔의 자사 제품 대상 버그바운티는 이번에 처음으로 운영된다.
■인텔 SW·HW·펌웨어 대상 버그바운티
사이버보안 스타트업 해커원(HackerOne)은 지난 15일 공식사이트를 통해 "인텔이 캐나다 밴쿠버에서 열린 보안컨퍼런스 캔섹웨스트(CanSecWest)에서 인텔 제품을 대상으로 첫 버그바운티 프로그램을 마련했다"고 밝혔다.
해커원 측은 "연구자들이 인텔 제품에서 문제를 발견해 우리에게 직접 가져오면 우리가 그 내용을 신속하게 평가 및 보정하는 단계를 밟을 수 있다"면서 "우리는 이 일을 할 연구자들을 찾고 이슈 발견을 독려하고 싶었다"고 설명했다.
인텔의 버그바운티 프로그램에 참가하려면 회사측이 공지한 취약점 처리 가이드를 확인해야 한다.
[☞원문: Intel launches its first bug bounty program]
[☞인텔 취약점 처리 가이드: Intel® Product Security Center]
인텔 버그바운티 프로그램은 자사 소프트웨어, 펌웨어, 하드웨어, 3가지 유형의 제품을 아우른다. 제품 유형과 4가지 취약점 심각도(Vulnerability Severity)에 따라 보상금의 상한선에 차등을 뒀다.
심각도는 치명적, 높음, 중간, 낮음으로 나뉜다. 치명적인 심각도로 판정된 취약점이 발견된 제품이 하드웨어라면 3만달러, 펌웨어라면 1만달러, 소프트웨어라면 7천500달러가 상금으로 지급될 수 있다.
인텔의 모든 기술이 프로그램 보상 대상에 해당하는 건 아니다. 보안부문 자회사 '인텔시큐리티(옛 맥아피)'는 제외된다. 인수 완료 6개월 이내의 기술, 서드파티 제품, 오픈소스 기술도 미포함이다. 웹 인프라 역시 대상이 아니다.
■MS오피스 인사이더빌드 버그바운티
MS는 같은날 테크넷 사이트를 통해, 정식 배포 전 테스트 단계인 윈도10 기반 데스크톱용 'MS오피스인사이더' 빌드 대상 버그바운티 운영 계획을 밝혔다. 프로그램은 이날부터 오는 6월 15일까지 진행된다.
[☞원문: Microsoft Office Insider Builds on Windows Bounty Program Terms]
[☞관련기사: MS오피스도 출시 앞둔 최신기능 써볼 수 있다]
MS오피스인사이더빌드 버그바운티는 3가지 취약점 영향(Vulnerability Impact) 범주와 2단계의 제보 수준(Report Quality)을 기준으로 보상금을 차등 지급한다. 개념증명(PoC)을 요구하나, 동작하는 익스플로잇을 요구하진 않는다.
첫번째 범주는 오피스의 제한된 보기(Protected View)에서 권한상승이 발생하는 취약점이다. 오피스에 의해 설치되지 않은 컴포넌트와 라이브러리, 또는 어떤 애플리케이션에든 쓰일 수 있는 앱컨테이너 샌드박스 내 취약점은 제외다.
두번째 범주는 워드, 엑셀, 파워포인트 프로그램 내 오피스 매크로 실행을 차단하는 보안 정책을 우회해 매크로를 실행할 수 있는 취약점이다.
관련기사
- 라인 "보안 허점 알려줘서 고마워요"2017.03.19
- 페이스북, 5년간 보안취약점 현상금 56억원 지급2017.03.19
- MS오피스도 출시 앞둔 최신기능 써볼 수 있다2017.03.19
- MS, 닷넷코어 취약점 잡기...새 버그바운티 프로그램 시동2017.03.19
세번째 범주는 아웃룩이 특정 확장자 파일 목록을 이메일에 첨부할 수 없게 미리 지정해 둔 차단정책을 우회하는 코드실행 취약점이다.
첫째와 둘째 범주 취약점을 고(High)품질로 제보하면 1만5천달러, 저(Low)품질 제보시 9천달러까지 보상금을 받는다. 셋째 범주 취약점의 고품질 제보 보상금은 9천달러, 제품질 제보 보상금은 6천달러다.