2016.08.11

20만 달러 현상금 내건 애플 두고 "iOS 버그 50만 달러에 삽니다"...엑소더스 인텔리전스

Michael Kan | IDG News Service
한 보안업체는 애플의 버그바운티 제도가 발표된 지 며칠이 지나지 않아 iOS내 제로데이 취약점 정보를 위해 미화 50만 달러(약 5억 5,000만 원) 상당의 금액을 제공하고 있다.


Credit: Michael Kan

지난 9일 미국 텍사스 기반의 엑소더스 인텔리전스(Exodus Intelligence)는 iOS 9.3과 그 이상의 버전과 연계된 제로데이 취약점에 대해 그 중요도에 따라 5,000달러에서 50만 달러의 현상금을 받을 것이라고 말했다.

제로데이는 애플이 탐지하지 못한 소프트웨어 결함을 말하는데, 이는 잠재적으로 매우 가치가 높다. 특히 사이버범죄자들은 이를 이용해 아이폰을 해킹할 수 있다.

엑소더스 측 성명은 지난 주 밝힌 애플의 자체 버그바운티 프로그램에 대한 관심을 다른 곳으로 옮길 수 있다. 애플은 iOS 내 매우 중요한 취약점에 대한 현상금으로 최대 20만 달러(약 2억 2,000만 원)을 지불하고 있다.

이 제도의 실질적인 운영 효과를 위해 애플은 처음에 초대한 수십 명의 보안 연구원들로 한정했었다. 그렇다고 이것이 다른 연구원들을 막는다는 의미는 아니다. 초대받지 못한 이들 또한 애플에 취약점을 제출할 수 있으며 현상금을 받을 수 있다.

애플이 버그 바운티 프로그램을 발표한 것은 이번이 처음이지만 구글과 마이크로소프트와 같은 다른 거대 IT 업체들은 수년동안 이 제도를 시행해오고 있다. 버그바운티 제도는 해커들이 버그들을 사이버범죄자들에게 팔기보다는 해당 업체에게 제공할 수 있도록 격려하는 한 방법이다.

그러나 제로데이 취약점은 보안 업체에게도 특별한 가치가 있다. 엑소더스 인텔레전스는 고객들에게 주요 위협들에 대한 경고, 심지어 소프트웨어 제공업체들과 해커들이 알기 전에 알 수 있도록 하는 자체 사업모델을 만들었다.


Credit: EXODUS INTELLIGENCE

엑소더스 인텔리전스는 해당 결함을 가진 고객들에게 2년 전에 미리 경고할 수 있다고 주장한다. 엑소더스 측은 이미 구글 크롬과 마이크로소프트 엣지 브라우저에 대한 제로데이 취약점을 위한 자체 버그바운티 프로그램을 운영하고 있다.

고액의 버그 현상금을 제공하는 보안업체는 엑소더스 인텔리전스만이 아니다. 지난해 제로디움(Zerodium)은 애플의 iOS를 해킹하기 위한 배타적이고 브라우저 기반의 방법에 대해 100만 달러를 지불할 것이라고 밝힌 바 있다. 이 현상금 기간은 끝이 났지만 제로디움은 여전히 iOS를 위한 제로데이 취약점에 대해 50만 달러를 제공한다.

또한 이 결함들은 법집행당국에게도 유용할 수 있다. 예를 들어 FBI가 한 테러리스트의 잠겨진 아이폰에 접속하기 위해 알려지지 않은 iOS 결함을 사용하기 위해 해커들에게 돈을 지불했다는 소문이 있다. editor@itworld.co.kr

2016.08.11

20만 달러 현상금 내건 애플 두고 "iOS 버그 50만 달러에 삽니다"...엑소더스 인텔리전스

Michael Kan | IDG News Service
한 보안업체는 애플의 버그바운티 제도가 발표된 지 며칠이 지나지 않아 iOS내 제로데이 취약점 정보를 위해 미화 50만 달러(약 5억 5,000만 원) 상당의 금액을 제공하고 있다.


Credit: Michael Kan

지난 9일 미국 텍사스 기반의 엑소더스 인텔리전스(Exodus Intelligence)는 iOS 9.3과 그 이상의 버전과 연계된 제로데이 취약점에 대해 그 중요도에 따라 5,000달러에서 50만 달러의 현상금을 받을 것이라고 말했다.

제로데이는 애플이 탐지하지 못한 소프트웨어 결함을 말하는데, 이는 잠재적으로 매우 가치가 높다. 특히 사이버범죄자들은 이를 이용해 아이폰을 해킹할 수 있다.

엑소더스 측 성명은 지난 주 밝힌 애플의 자체 버그바운티 프로그램에 대한 관심을 다른 곳으로 옮길 수 있다. 애플은 iOS 내 매우 중요한 취약점에 대한 현상금으로 최대 20만 달러(약 2억 2,000만 원)을 지불하고 있다.

이 제도의 실질적인 운영 효과를 위해 애플은 처음에 초대한 수십 명의 보안 연구원들로 한정했었다. 그렇다고 이것이 다른 연구원들을 막는다는 의미는 아니다. 초대받지 못한 이들 또한 애플에 취약점을 제출할 수 있으며 현상금을 받을 수 있다.

애플이 버그 바운티 프로그램을 발표한 것은 이번이 처음이지만 구글과 마이크로소프트와 같은 다른 거대 IT 업체들은 수년동안 이 제도를 시행해오고 있다. 버그바운티 제도는 해커들이 버그들을 사이버범죄자들에게 팔기보다는 해당 업체에게 제공할 수 있도록 격려하는 한 방법이다.

그러나 제로데이 취약점은 보안 업체에게도 특별한 가치가 있다. 엑소더스 인텔레전스는 고객들에게 주요 위협들에 대한 경고, 심지어 소프트웨어 제공업체들과 해커들이 알기 전에 알 수 있도록 하는 자체 사업모델을 만들었다.


Credit: EXODUS INTELLIGENCE

엑소더스 인텔리전스는 해당 결함을 가진 고객들에게 2년 전에 미리 경고할 수 있다고 주장한다. 엑소더스 측은 이미 구글 크롬과 마이크로소프트 엣지 브라우저에 대한 제로데이 취약점을 위한 자체 버그바운티 프로그램을 운영하고 있다.

고액의 버그 현상금을 제공하는 보안업체는 엑소더스 인텔리전스만이 아니다. 지난해 제로디움(Zerodium)은 애플의 iOS를 해킹하기 위한 배타적이고 브라우저 기반의 방법에 대해 100만 달러를 지불할 것이라고 밝힌 바 있다. 이 현상금 기간은 끝이 났지만 제로디움은 여전히 iOS를 위한 제로데이 취약점에 대해 50만 달러를 제공한다.

또한 이 결함들은 법집행당국에게도 유용할 수 있다. 예를 들어 FBI가 한 테러리스트의 잠겨진 아이폰에 접속하기 위해 알려지지 않은 iOS 결함을 사용하기 위해 해커들에게 돈을 지불했다는 소문이 있다. editor@itworld.co.kr

X