Home > 전체기사
구글, 안드로이드 보호 위해 버그바운티 상금 올렸다
  |  입력 : 2019-11-22 09:54
페이스북 보내기 트위터 보내기 네이버 밴드 보내기 카카오 스토리 보내기
픽셀 타이탄 M에서 취약점 발견할 경우 최대 100만 달러...보너스 50만도 추가 가능
하지만 아직까지 익스플로잇 거래 전문 업체인 제로디움이 내건 가격에 못 미쳐


[보안뉴스 문가용 기자] 구글이 자사가 진행하는 버그바운티의 안드로이드 부문을 확장한다고 발표했다. 그러면서 일부 취약점들에 대한 익스플로잇의 가격이 개당 150만 달러로까지 올라갔다.

[이미지 = iclickart]


구글에 의하면 안드로이드용 버그바운티 프로그램인 ‘안드로이드 시큐리티 리워즈(Android Security Rewards)’를 2015년 시작한 이래로 총 1800개가 넘는 취약점이 발견됐고, 상금으로 400만 달러가 넘는 돈을 지출했다고 한다. 지난 한 해만 동안만 이 프로그램을 통해 나간 돈이 150만 달러이며, 가장 비싼 취약점 익스플로잇은 16만 1천 달러였다고 한다.

이 16만 1천 달러의 주인공은 중국 보안 업체 치후360(Qihoo 360)의 보안 전문가인 구앙 공(Guang Gong)이라는 인물이다. 게다가 이 취약점을 가지고 크롬 버그바운티의 상금 4만 달러까지 추가로 획득해 한 가지 취약점으로 20만 달러가 넘는 수익을 올리게 됐다. 구앙 공은 안드로이드와 크롬의 취약점들을 연쇄적으로 활용해 픽셀 3 장비에서 임의 코드를 실행시키는 데 성공했었다.

이제 구글은 안드로이드 시큐리티 리워즈라는 프로그램을 통해 상금을 올린다고 한다. 특히 픽셀 타이탄 M(Pixel Titan M)에서 익스플로잇이 나올 경우 최고 100만 달러까지 획득할 수 있게 된다. 심지어 구글이 지정한 특정 개발자 프리뷰 버전에서까지 통하는 익스플로잇이라면 50% 보너스까지 추가로 주어진다고 한다.

“구글이 사용하고 있는 보안 칩이 타이탄 M(Titan M)을 침해할 수 있게 해주고, 안드로이드 장비에 공격 지속성을 확보할 수 있게 해주는 원격 코드 실행 익스플로잇에 대해서 가장 높은 상금을 수여할 계획입니다.” 구글의 발표 내용이다. “그 외에 픽셀 타이탄 M 칩으로 보호되어 있는 데이터를 유출하는 데 성공하면 최대 50만 달러, 시큐어 엘레멘트(Secure Element)로 보호된 데이터를 유출시키면 최대 25만 달러가 수여될 것입니다.”

새로운 항목이 버그바운티에 추가되기도 했다. 바로 ‘잠금 화면 우회’ 기술이다. 이제부터 안드로이드 장비의 잠금 화면을 뚫어내는 기술을 발견하면 최대 10만 달러를 획득할 수 있게 된다.

하지만 이번에 대폭 상금을 인상한 구글보다 더 많은 돈을 주는 곳이 존재한다. 바로 제로데이와 익스플로잇을 사들여서 정부 기관 등에 판매하는 제로디움(Zerodium)이다. 현재 제로디움 측은 안드로이드 익스플로잇에 대해 최대 250만 달러를 제공한다. 최고 금액을 타내려면 피해자가 단 한 번도 클릭하지 않은 채 익스플로잇을 진행시키는 데 성공해야 한다. 구글의 경우 최고 상금을 타려면 1번의 클릭까지는 허용이 된다.

참고로 제로디움은 iOS의 익스플로잇도 구매 중에 있다. 아이폰 장비 사용자의 단 한 번 클릭만으로 공격 지속성을 확보할 수 있다면 최대 200만 달러의 상금을 수여한다고 한다. 이 때문에 iOS 보안 전문가들은 애플의 버그바운티보다 제로디움에 더 많은 관심을 가지고 있었고, 애플 측에서도 올 여름 버그바운티 상금을 크게 높인 바 있다.

제로디움의 고객은 대부분 영업비밀로, 공개되지 않은 상태이며, 다만 제로디움 측에서 ‘세계의 여러 정부 기관들’이라고 주장하고 있는 상태다. 정부들 간 사이버전은 갈수록 심화되어 가는 상태다.

3줄 요약
1. 구글, 안드로이드 보호 위해 버그바운티 상금 인상.
2. 특히 픽셀 타이탄 M 칩과 관련한 익스플로잇에 높은 상금 배정함.
3. 그래도 아직까지는 제로디움이 더 많은 상금 줘서 문제.

[국제부 문가용 기자(globoan@boannews.com)]

<저작권자: 보안뉴스(www.boannews.com) 무단전재-재배포금지>

  •  
  • 0
  • 페이스북 보내기 트위터 보내기 네이버 밴드 보내기 카카오 스토리 보내기


  •  SNS에서도 보안뉴스를 받아보세요!! 
넷앤드 파워비즈 진행 2020년1월8일 시작~2021년 1월8일까지IBM 파워비즈 배너 2019년2월8일~2020년2월7일까지/7월25일 수정위즈디엔에스 2018파워비즈배너 시작 11월6일 20181105-20200131
설문조사
2020년 경자년에 국내 주요 보안기업들과 보안관련 기관들이 공통적으로 꼽은 7가지 보안위협 가운데 가장 주목되는 분야는?
랜섬웨어
공급망 공격
클라우드
악성메일
IoT
다크웹
AI
기타(댓글로)