보안 / 윈도우

MS 블루햇 대회, 윈도우 보안 혁신 아이디어 20건 접수

Gregg Keizer | Computerworld 2012.04.05
마이크로소프트가 총 상금 26만 8,000달러의 블루햇 대회를 개최하며, 20건의 윈도우 보안 아이디어를 접수했다.
 
지난 2011년 8월 시작된 블루햇 프라이즈(BlueHat Prize) 대회는 윈도우 보안 혁신 아이디어를 겨루는 대회로, 1등 상금으로 20만 달러, 2등 삼금 5만 달러, 3등은 MSDN 구독권을 내걸었다. 그리고 우승자는 오는 7월 블랙햇 보안 컨퍼런스에서 발표될 예정이다.
 
마이크로소프트 수석 보안 전략 임원인 케이티 무소리스는 4월 1일 마감까지 총 20건의 보안 아이디어가 접수됐다고 밝혔다. 마이크로소프트는 블랙햇 보안 컨퍼런스 이전까지 접수된 아이디어에 대한 평가를 마치고 우승자를 선정하게 된다. 
 
블루햇 대회는 일반적으로 많이 사용되는 버그 현상금 방식이 아니라는 점이 특징이다. 버그 현상금 방식은 취약점 전문가들이 소프트웨어의 알려지지 않은 구체적인 결함을 찾아내고 이에 대해 소프트웨어 업체가 보상을 하는 방식이다. 하지만 블루햇은 보안 연구원들이 기존의 버그에 대한 기억으로부터 윈도우를 보호할 수 있는 획기적인 기술을 창안해 내는 것을 촉진하기 위한 것이다.
 
지난 해 첫 대회가 개최되자 일부 전문가들은 마이크로소프트가 ROP(Rreturn-Oriented Programming) 취약점을 악용하는 것을 근절하거나 적어도 최소화하기 위한 기술이나 기법을 찾고 있다고 생각했다. ROP 버그는 ASLR(Address Space Layout Randomization) 같은 기존 윈도우의 취약점 보호 기술을 우회하는 데 사용할 수 있다.
 
우승자는 물론 모든 대회 참가자는 자신들이 개발 기술에 대한 지적재산권을 가지지만, 마이크로소프트에는 로열티 없이 해당 기술을 라이선스해 줘야만 한다. 신청은 2MB 이하의 윈도우 SDK를 사용해 개발하고 윈도우에서 구동하는 2MB 이하 크기의 프로토타입을 제공해야 한다.
 
이런 라이선스 조건 때문에 블루햇 대회는 마이크로소프트가 경제적인 방법으로 새로운 보안 아이디어를 확보하는 수단이 되기도 한다. 접수된 20건의 아이디어가 절반 이상 겹친다 하더라도 10건의 아이디어를 2만 7,000달러 이하의 비용으로 얻을 수 있다는 계산이 된다. 이는 구글이 크롬 브라우저의 취약점과 관련해 지난 달 두 명의 보안 연구원에게 지급한 비용의 1/4에 불과하다.
 
엔서클 시큐리티의 보안 운영 이사인 앤드류 스톰은 “다른 누군가가 혁신을 하도록 돈을 지불하는 저렴한 방법”이라고 평가했다. 또 “구글 등의 업체는 취약점 발견에 돈을 내지만, 마이크로소프트는 그런 식으로 한 적은 없다. 대신 혁신에 비용을 지불한다. 누군가 자사 제품을 분석하는 데 돈을 내는 대신 자사 제품을 향상시키는 사람에게 돈을 지불하는 것”이라고 덧붙였다.
 
심사는 마이크로소프트 보안 대응센터와 윈도우 그룹, 그리고 연구 부서의 인력이 진행한다.
 
지난 주 무소리스는 블로그를 통해 그때까지 접수된 10건의 참가 아이디어가 양적으로 질적으로 기대를 넘어섰다고 밝히기도 했다. 또한 참가자 중에는 대단한 이력의 보안 연구원도 있다고 언급했다.
 
한편, 참가 아이디어가 접수된 시간을 보면, 대부분의 참가자가 마감 직전까지 아이디어를 다듬은 것으로 보인다. 20건 중 10건이 마감 마지막 9일 동안에 접수됐으며, 한 것은 마감 9분 전에 접수됐다. 실제로 마이크로소프트는 공정성 때문에 마감에 8분이 늦은 참가자의 접수를 반려한 것으로 알려졌다.  editor@itworld.co.kr

회사명 : 한국IDG | 제호: ITWorld | 주소 : 서울시 중구 세종대로 23, 4층 우)04512
| 등록번호 : 서울 아00743 등록발행일자 : 2009년 01월 19일

발행인 : 박형미 | 편집인 : 박재곤 | 청소년보호책임자 : 한정규
| 사업자 등록번호 : 214-87-22467 Tel : 02-558-6950

Copyright © 2024 International Data Group. All rights reserved.