Home > 전체기사
페이스북, 버그바운티 대상 항목과 상금 규모 늘려
  |  입력 : 2019-10-18 11:12
페이스북 보내기 트위터 보내기 네이버 밴드 보내기 카카오 스토리 보내기
자체 프로그램 및 애플리케이션에 대해서는 세부적인 보너스 항목 생겨
서드파티 앱과 웹사이트에 대한 취약점 연구도 보다 능동적으로 진행할 수 있게


[보안뉴스 문가용 기자] 페이스북이 버그바운티 프로그램을 확장하기로 결정했다. 페이스북 자체 제품들에 대한 버그바운티 상금이 늘어났을 뿐만 아니라 서드파티 앱에 대한 프로그램도 신설 및 확장될 것이라고 한다.

[이미지 = iclickart]


페이스북이 서드파티 앱과 웹사이트에 대한 버그바운티 프로그램을 실시하기 시작한 건 작년이다. 다만 페이스북의 사용자 데이터를 부적절하게 노출시키게 하는 취약점들에 한해서만 상금을 지불했다. 이제는 그 외 취약점들에 대해서도 상금을 수여한다. “즉, 이전까지는 수동적인 관찰을 통해서 발견할 수 있던 취약점들만 취급했지만, 이제 적극적인 모의 해킹 실험을 통해 발견된 취약점들도 해당된다는 겁니다.”

물론 남이 만든 앱을 마구 찔러보는 것이라, 보안 강화를 위한 실험이라고는 하지만 지켜야 할 선이 있다. 페이스북은 보안 전문가들이 이 점을 잘 지킬 것을 강조했다. “지켜야 할 것들 중 가장 중요한 건 서드파티 앱이나 웹사이트의 원래 개발자로부터 실험 허락을 받았다는 증거 자료입니다. 버그를 보고할 때 이 자료도 함께 제출해야 합니다.”

그러면서 페이스북은 “보안 전문가들이 페이스북 생태계 내에서 활동하는 개발자들과 더 활발하게 교류하기를 바란다”고 이번 버그바운티 확대 이유를 설명했다. “또한 앱과 웹사이트의 안전성 여부를 확인하고 보강하기 위해 노력하도록, 보안 전문가들에게 혜택을 더 주고 싶었습니다. 투자가 이뤄지지 않는 영역까지 보안 업계가 알아서 관심을 가져주기를 바라는 건 바람직하지도 않고 효과도 없으니까요.”

페이스북 자체 앱들인 왓츠앱(WhatsApp)이나 메신저(Messanger), 오큘러스(Oculus), 포털(Portal), 프록시젠(Proxygen), mvfst 등을 대상으로 한 버그바운티도 확대된다. “원격 코드 실행, 권한 상승, 사용자 데이터 침해 등으로 이어지게 해주는 취약점이 발견될 경우 이전보다 많은 상금을 제공할 계획입니다.”

다만 이 부분에서의 버그 리포트에는 수준이 높은 개념 증명이 함께 첨부되어야 한다고 페이스북은 강조했다. “또한 상금의 양은 익스플로잇의 수준, 익스플로잇 되었을 때의 효과, 필요한 사용자 개입의 정도에 따라 다르게 책정될 것입니다. 원격 코드 취약점을 찾았다고 해서 무조건 최고 상금이 주어지는 건 아니라는 겁니다.”

그렇다 하더라도 페이스북이 버그 헌터들에게 돈을 쓸 의향은 충분히 있는 것으로 보인다. “확실히 기능을 발휘하는 익스플로잇을 동반한 개념 증명을 제출할 경우 1만 5천 달러를 보너스로 지급할 것입니다. 명령어 포인터(instruction pointer) 통제나 임의 작성(arbitrary write)을 나타낼 수 있는 개념 증명의 경우 최대 9천 달러의 보너스가 지급되고, 임의 읽기(arbitrary read)는 최대 5천 달러, 포인터 유출(pointer leak)은 최대 1천 달러가 배정될 것입니다.”

페이스북은 상금 규모를 제시하면서 자신들이 바라는 보고서의 예시를 공개하기도 했다. “위험성이 미비한 경우에는 보고서를 제출했다고 하더라도 상금을 받지 못할 수 있습니다. 보고서는 양호한데 익스플로잇이 제대로 작동하지 않는다면 상금만 받고 보너스는 추가로 받을 수 없습니다. 그런 식으로 세부적인 상금 책정 절차에 따라 최대한 공정하고 넉넉하게 보안 전문가들에게 상금을 수여할 예정입니다.”

그러면서 페이스북은 다음 세 가지는 접수조차 하지 않을 것이라고 못을 박았다.
1) 심벌이 없는 스택 트레이스(stack trace)
2) 질 낮은 개념증명(예 : 정리나 압축 과정을 거치지 않은 대용량 퍼즈(fuzz) 파일)
3) 보고서나 설명 한 줄 없는 크래시 덤프(crash dump)

3줄 요약
1. 페이스북, 자체 애플리케이션에 대한 상금 늘림. 보너스 항목이 생김.
2. 서드파티 앱과 웹사이트에 대한 침투 테스트도 허용함.
3. 상금 액수 책정을 세부적으로 하여 최대한 공정하게 상금 수여할 예정.

[국제부 문가용 기자(globoan@boannews.com)]

<저작권자: 보안뉴스(www.boannews.com) 무단전재-재배포금지>

  •  
  • 0
  • 페이스북 보내기 트위터 보내기 네이버 밴드 보내기 카카오 스토리 보내기


  •  SNS에서도 보안뉴스를 받아보세요!! 
모니터랩 파워비즈 6개월 2020년6월22~12월 22일 까지넷앤드 파워비즈 진행 2020년1월8일 시작~2021년 1월8일까지위즈디엔에스 2018파워비즈배너 시작 11월6일 20181105-20200131
설문조사
코로나19 사태로 인해 화상회의, 원격교육 등을 위한 협업 솔루션이 부상하고 있습니다. 현재 귀사에서 사용하고 있는 협업 솔루션은 무엇인가요?
마이크로소프트의 팀즈(Teams)
시스코시스템즈의 웹엑스(Webex)
구글의 행아웃 미트(Meet)
줌인터내셔녈의 줌(Zoom)
슬랙의 슬랙(Slack)
NHN의 두레이(Dooray)
이스트소프트의 팀업(TeamUP)
토스랩의 잔디(JANDI)
기타(댓글로)