트렌드

“블랙폰 오류 찾는 분께 128달러 드려요”

2014.09.25

블랙폰사일런트서클이 오류를 찾아주는 개발자에게 128달러를 지급하는 ‘버그 보상 프로그램’을 시작한다. 블랙폰은 휴대폰 제조업체고, 사일런트서클은 블랙폰에 들어가는 통신 소프트웨어를 만드는 회사다. 두 업체는 협력해 보안 기술을 강화한 스마트폰을 제작하고 있다. 이들은 버그 보상 프로그램으로 외부 보안 전문가들을 끌어와 기술력을 높일 심산이다.

blackphone_bug_bounty_program_THUM

블랙폰과 사일런트서클은 9월23일부터 ‘버그크라우드’라는 플랫폼을 통해 버그 보상 프로그램 참여자를 모집하고 있다. 간단한 가입 절차만 거치면 누구나 무료로 참여할 수 있다. 블랙폰은 이곳에 프라이뱃OS(PrivatOS)와 업데이트 파일, 통합시스템, 업데이트 서버, 웹포털 기술을 공개한다. 사일런트서클은 엔드포인트 애플리케이션, 네트워크 서비스, 클라우드 인프라, 웹사이트와 웹서비스 기술을 공개한다. 개발자는 이를 보고 정해진 규칙에 따라 오류를 찾아 보고하면 된다. 아래는 버그 보상 프로그램의 규칙이다.

  • 해당 취약점을 첫 번째로 발견한 사람만 보상받는다.
  • 너무 간단한 취약점은 인정하지 않는다. (조건 따로 명시)
  • 보상금엔 세금이 포함될 수 있다.
  • 일부 취약점은 외부에 공개하면 안 된다.
  • 블랙폰&사일런트서클 직원과 자회사 관계자는 참여할 수 없다.

블랙폰과 사일런트서클은 이미 발견된 취약점은 따로 공표했다. 개발자는 이 취약점 외에 다른 오류를 찾으면 된다. 예를 들어 HTTP 404 페이지가 나오는 오류나 로그인 페이지로 넘어갈 때 나오는 일부 오류는 인정하지 않는다. 오류를 보고하면 1건당 128달러, 우리돈 약 13만원을 받을 수 있다. 오류 종류에 따라 보상 가격은 조금씩 달라진다. 블랙폰과 사일런트서클은 <기가옴>과 인터뷰에서 “우리는 수준 높은 보안기술을 만들고 싶다”라며 “그러한 수준에 도달하기 위해선 기존 보안 커뮤니티와 협력해야 한다고 생각했다”라고 취지를 밝혔다.

이러한 버그 보상 프로그램은 사실 새로운 건 아니다. 구글, 페이스북, 트위터 등도 보안 취약점을 보고 할 수 있도록 따로 보상 프로그램을 진행하고 있다. 보안 해커톤에서도 취약점을 찾는 프로그램이 종종 이뤄진다. 버그 보상 프로그램은 기술에 대한 접근성을 높여준다는 점에서 의미 있다. 해당 기업 직원이 아니어도 누구나 기술을 들여다볼 수 있기 때문이다.

블랙폰과 사일런트서클에는 많은 보안 전문가가 협력하고 있는데, 그 중 필 짐머만도 있다. 필 짐머만은 암호화의 선구자로 ‘PGP’(Pretty Good Privacy)’ 기술을 개발한 바 있다. PGP는 e메일을 제3자가 알 수 없도록 암·복호화하는 프로그램이다. 블랙폰과 사일런트서클은 올해부터 본격적으로 제품 및 서비스를 출시했으며, 사생활 보호라는 가치를 내세워 인지도를 높이는 중이다.

j.lee.reporter@gmail.com

오픈소스 기술, 프로그래머의 삶 그리고 에듀테크 분야에 관심이 많습니다. 작은 변화라도 실행하고 노력하려는 사람들을 응원하고, 그러한 분들의 이야기를 더 많이 나누고 싶습니다 :)