Offcanvas
Some text as placeholder. In real life you can have the elements you have chosen. Like, text, images, lists, etc.
Offcanvas
1111Some text as placeholder. In real life you can have the elements you have chosen. Like, text, images, lists, etc.
보안

줌이 '버그 바운티' 프로그램을 성공적으로 운영한 방법

Michael Hill | CSO 2022.04.07
화상회의 플랫폼 줌(Zoom)이 2019년 버그 바운티(bug bounty) 프로그램을 시작한 이후 240만 달러가 넘는 보상금과 선물을 지급했다. 또한 해커원(HackerOne) 플랫폼으로 800명 이상의 윤리적 해커를 모집하며 보안 개선에 집중하고 있다. 줌은 버그 바운티 프로그램으로 2021년에만 400개 이상의 오류를 수정했으며, 이에 대한 보상금으로 180만 달러를 지급했다. 현재 줌 버그 바운티 프로그램의 보상금 하한선은 250달러(약 30만 원)이며, 상한선은 5만 달러(약 6,088만 원)다.
 
ⓒ Getty Images Bank

버그 접수에 대한 줌의 초기 응답 시간은 평균 4시간 미만이며, 48시간 내로 전체 보고서가 분류된다. 보상금은 보고서 제출 후 14일 이내에 지급된다. 화상회의 플랫폼이 서비스 초기부터 버그 바운티 프로그램을 운영한 것은 성공적이었다 표현할 만하다. CISO가 버그 바운티 프로그램의 ROI를 계산하고 고위 경영진에게 운영을 제안할 때 줌의 사례에서 배울 수 있는 점은 무엇일까?


줌이 버그 바운티 프로그램을 발전시킨 방법

버그 바운티 프로그램에 대한 줌의 리뷰를 살펴보면, 지난해 줌은 보안 연구원 지원과 새로운 인재 유치에 중점을 몇 가지 중 업데이트를 구현해 프로세스를 개선했다. 대표적인 업데이트가 '보상금 메뉴(Bounty Menu)' 도입이다. 보상금 메뉴는 발견된 취약점 유형과 해당 취약점이 줌 사용자와 인프라에 미칠 수 있는 입증된 영향을 기반으로 취약점을 발견한 연구원에게 지급하는 금액을 정리한 것이다. 

또한 줌은 기존 보안 연구원뿐 아니라 누구라도 취약점을 보고할 수 있도록 취약점 공개 프로그램(Vulnerability Disclosure Program, VDP)을 운영했다. VDP 도입으로 취약점 보고 접수 절차가 간소화돼 적절한 팀이 신속하게 대응할 수 있었으며, 그 결과 취약점을 신속하게 수정하고 더 안전한 제품으로 개선할 수 있었다.

2021년 10월 줌은 라이선스 버전에 중점을 두고 보안 테스트 범위를 확장한 VIP 버그 바운티 프로그램을 운영하기 시작했다. 동시에 줌은 초기 대응, 취약점 분류 및 완화, 보상금 지급 시간을 단축하는 데 집중하며 전 세계 연구원과의 만남을 주최하기도 했다. 이런 노력은 지난해 줌이 버그 바운티 프로그램을 개발시키고 성공적으로 운영하는 데 큰 도움이 됐다. 

줌의 CISO 제이슨 리는 CSO와의 인터뷰에서 "연구원과 탄탄한 커뮤니케이션을 유지하기 위해 응답 시간을 단축하려고 애썼다. 지속해서 프로그램을 개선하기도 했다. 예를 들어, 작년에는 연구원에게 더 많은 성과 보수를 제공하고 그들이 버그를 찾는 데 소비한 시간과 노력에 상응하기 위해 최대 보상금을 5만 달러로 인상했다"라고 말했다. 


줌이 고위 경영진을 설득한 방법

전체 보상금 지급액이 240만 달러라는 것은 줌이 버그 바운티 프로그램에 상당한 투자를 했음을 의미한다. 고위 경영진이 주저할 수 있는 부분이다. 리는 단일 데이터 침해가 발생했을 때 투입해야 하는 비용을 고려할 때 취약점을 신속하게 식별하고 수정하기 위한 ROI가 보상금보다 훨씬 중요하다고 말했다. 리는 "버그 바운티 프로그램은 우리가 고칠 수 있는 버그를 많이 발견하는 방법일 뿐 아니라 제품을 검토하는 더 많은 시각을 얻을 수 있다는 점에서 중요하다. 다양한 재능과 기술을 활용해 잠재적인 버그를 찾기 위해 더 큰 외부 관점을 수집하는 방법이다"라고 설명했다.

이런 장점은 버그 바운티 프로그램을 채택한 고위 경영진에게는 핵심적인 부분이며, 보상금에 대한 단기적인 투자로 장기적인 보안 이점을 얻을 수 있다는 증거다. CISO는 이런 점에 주목해야 한다. 리는 "버그 바운티는 버그를 추적하고 공격 표면을 강화하는 사전 예방적인 방법으로, 줌의 보안 전략의 일환이다. 우리는 사용자를 안전하게 보호하도록 악의적인 행위자보다 먼저 취약점을 식별해 신속하게 수정하는 작업에서 많은 가치를 발견한다. 또한 줌 플랫폼의 보안을 강화하려는 노력과 이런 노력에 보상하는 것에 확고한 견해를 갖고 있다"라고 덧붙였다.
editor@itworld.co.kr
 Tags 버그바운티 보상금 취약점발견 VDP
IDG 설문조사

회사명 : 한국IDG | 제호: ITWorld | 주소 : 서울시 중구 세종대로 23, 4층 우)04512
| 등록번호 : 서울 아00743 등록일자 : 2009년 01월 19일

발행인 : 박형미 | 편집인 : 박재곤 | 청소년보호책임자 : 한정규
| 사업자 등록번호 : 214-87-22467 Tel : 02-558-6950

Copyright © 2022 International Data Group. All rights reserved.