Home > 전체기사

일부 버그바운티의 독특한 ‘기부 정책’ 잘 활용하는 보안 기업

  |  입력 : 2019-09-24 15:02
페이스북 보내기 트위터 보내기 네이버 밴드 보내기 카카오 스토리 보내기
코드에서 오류와 위험한 취약점 발견하는 데 특화된 보안 기업, 세믈
올해 발견한 취약점들에 대한 상금, 두 배로 늘려 자선 단체들에 기부


[보안뉴스 문가용 기자] 구글이 크롬의 샌드박스를 탈출할 수 있게 해주는 취약점들을 발견한 보안 전문가들에게 총 4만 달러의 상금을 지급하기로 결정했다.

[이미지 = iclickart]


구글은 지난 주 크롬 77의 업데이트 버전인 크롬 77.0.3856.90을 발표했다. 네 가지 취약점이 해결된 버전이었다.
1) 칼릴 자니(Khalil Zhani)가 발견하고 보고한 UI 내 UaF 취약점
2) 미디어 요소에서 발견된 고위험군 UaF 취약점 두 개
3) 브렌든 티스카(Brendon Tiszka)가 오프라인 페이지에서 발견한 고위험군 UaF 취약점

아직 자니와 티스카에 대한 보상 금액은 결정되지 않은 상태다. 그러나 2)번 미디어 요소의 취약점 두 개는 각각 2만 달러의 상금이 결정됐다. 이 두 개는 CVE-2019-13688과 CVE-2019-13687로 보안 업체 세믈 시큐리티(Semmle Security)의 만 유에 모(Man Yue Mo)라는 전문가가 발견했다고 한다.

모에 의하면 이 두 가지 취약점들은 “단독적으로 익스플로잇 되었을 때 공격자들에게 그다지 쓸모 있는 건 아니”라고 한다. “다른 취약점들과 함께 사용되었을 때 위력을 발휘할 수 있습니다.” 모의 설명이다.

“이 두 가지 취약점들을 익스플로잇 하려면 이미 침해가 된 렌더러가 필요합니다. 익스플로잇 후에는 크롬의 샌드박스를 탈출할 수 있게 해주고요. 즉 다른 취약점에 대한 익스플로잇이 필수로 진행되고 나서, 이 취약점 두 가지로 샌드박스를 탈출하고, 그런 후에 코드를 실행할 수 있다는 겁니다. 그렇다 해도 위험성이 낮은 건 아닙니다.”

한편 세믈과 모는 상금을 수령하지 않을 계획이다. “구글에 취약점을 알리면서 4만 달러를 사회 활동가나 자선 단체 등에 기부해달라고 요청했습니다. 구글은 보안 전문가가 보상금을 직접 수령하지 않고 기부를 요청할 때 보상금을 두 배로 늘린다는 정책을 가지고 있습니다.”

세믈은 최근 페이스북에서도 DoS 취약점을 발견해 1만 달러의 상금을 탄 바 있다. 이 취약점은 페이스북의 피즈 씬(Fizz TLS) 라이브러리에서 발견됐다. 세믈은 이 상금 역시 다른 자선 단체에 기부했다. 페이스북 역시 상금을 두 배로 늘려 세믈의 기부 요청을 실행에 옮겼다.

이 외에도 세믈은 작년 아파치 스트러츠 2(Apach Struts 2)라는 오픈소스 개발 프레임워크에서 치명적인 위험도를 가진 원격 코드 실행 취약점을 발견한 것으로도 알려져 있다.

세믈은 2018년 8월 2100만 달러의 투자를 받고 본격적인 글로벌 업체로 발돋움하기 시작했다. 코딩 오류나 취약점을 찾는 데 특화되어 있고, 굉장히 위험한 취약점들을 발견하는 데 능하다. 그 능력에 힘입어 작년 마이크로소프트가 소유하고 있는 코드 리포지토리인 깃허브(GitHub)에 인수되기도 했다.

3줄 요약
1. 크롬에서 샌드박스 탈출하게 해주는 취약점 발견됨.
2. 발견자는 세믈 시큐리티의 전문가로, 상금 전액 기부 요청함.
3. 페이스북에서도 이런 전적이 있음. 보안 업계의 새로운 기부 천사?

[국제부 문가용 기자(globoan@boannews.com)]

<저작권자: 보안뉴스(www.boannews.com) 무단전재-재배포금지>

  •  
  • 0
  • 페이스북 보내기 트위터 보내기 네이버 밴드 보내기 카카오 스토리 보내기

  •  SNS에서도 보안뉴스를 받아보세요!! 
넷앤드 파워비즈 진행 2020년1월8일 시작~2021년 1월8일까지위즈디엔에스 2018파워비즈배너 시작 11월6일 20181105-20200131
설문조사
보안전문 기자들이 뽑은 2021년 보안 핫키워드 10개 가운데 가장 관심이 높은 키워드는?
민간인증서부터 융복합인증까지, 인증의 시대 열린다
랜섬웨어 공격, ‘불특정 다수’에서 ‘표적형’으로 진화
데이터 프라이버시가 기업들의 목을 죈다
재택근무와 주 52시간 근무제, 오피스 보안 ‘혁신’ 예고
영상·음성까지 합성 ‘딥페이크’, 비대면 사회 침투하나
의료·제약 분야, 코로나19 다음은 해커
스마트공장 구축은 OT/ICS 보안 정립부터
드론, 융합보안 산업의 핵심 아이템이 되다
몸집 키운 ADT캡스-에스원 대격돌, 보안시장 지각변동
CCTV 시스템온칩 대란, 중소기업 생존까지 위협