페이스북, 버그 발견한 해커에게 포상금 지급

가 +
가 -

페이스북은 자사의 웹사이트에 문제점을 찾은 해커가, 페이스북 보안팀에 처음으로 보고하기만 하면 포상금을 지급할 예정이라고 밝혔다. 페이스북도 구글과 모질라가 시작한 웹 버그 포상금 프로그램에 참여하는 것이다.

크로스 사이트 스크립트 결함과 같은 보안과 관련된 버그를 위해 페이스북은 기본으로 500달러를 지불할 예정이다. 만약 해커들이 페이스북의 치명적인 결함을 찾는다면 더 많이 지불할 계획이지만, 정확한 금액은 밝히지 않았다.

페이스북의 제품 보안 총책임자인 알렉스 라이스는 “과거에 페이스북은 해커의 이름을 자사의 페이지에서 알려주고, 인터뷰하고 채용하는데 사용하는 등 이름을 알리는데 주력했다”며, “이제 페이스북은 금전적 보상을 시작으로 혜택을 확대하고 있다”고 말했다.

금요일 페이스북은 연구진들이 버그 프로그램과 보고서를 올릴 수 있는 새로운 화이트햇(Whitehat) 해킹 포털 사이트를 오픈했다.

많은 해커들은 소프트웨어나 웹사이트의 취약성을 공개하면서 명성을 얻고 있다. 페이스북과 같이 널리 사용되는 웹사이트에서 중요한 버그를 찾는 것은 해커의 경력을 쌓는데 도움이 되며, 언론에서도 집중조명하며 유명세를 타게 된다.

그러나 페이스북이 버그를 수정할 시간도 갖기 전에 널리 알려지는 것은 페이스북의 사용자에게는 위험한 일일 수 있다. 최근 몇 년간 다른 업체들은 패치를 내놓을 때까지 해커들이 밝히지 못하도록 이러한 버그 포상금 프로그램을 시작하고 있다.

구글은 결함의 심각성에 따라서 500달러에서 3,133달러까지 지불하고 있다. 구글은 2010년 초기부터 브라우저 버그 포상금 프로그램을 시작했으며, 이후 11월에는 자사의 웹에서 버그를 커버하기 위한 프로그램으로 확대했다.

이번 주 구글의 대변인은 “웹 버그 포상금 프로그램은 지난 8개월간 대부분의 구글 제품에서 나타난 프로그래밍 에러를 발견하는데 도움이 됐다고 밝혔다.

구글은 자사의 웹 프로그램이 큰 성공을 거두었다고 평가하고 있다. 대변인은 “구글은 지금까지 취약점 보상 프로그램의 성공적으로 보고 있다”며, “이미 30만 달러를 지급했고, 다양하고 흥미로운 버그를 볼 수 있었다”고 이메일을 통해 밝혔다.

페이스북의 보안팀은 이미 보안 연구원들과 자사의 프로그램간에서 많은 대화를 유도하고 있다. 라이스는 “페이스북은 매주 해커와 30~50회 정도 접속을 하고 있으며, 해커의 정보는 주당 평균 약 1~3회는 실질적인 버그”라며, “이들 대부분은 크로스 사이트 스크립팅이나 크로스 사이트 요청 위조 문제”라고 밝혔다. 이들 모두  페이스북 사용자들에게 피해를 끼치는 스캐머(scammer)와 사이버크룩스(cybercrooks)를 오용하는 일반적인 웹 프로그램 오류이다.

페이스북의 경영진은 “해커 커뮤니티와 좋은 관계를 유지하는 것이 매우 중요하다”며, “페이스북은 지난 2년간 데프콘 해킹 컨퍼런스의 상위 부서를 후원하고 있다”고 말했다. 페이스북의 CSO(Chief Security Officer)인 조 설리반은 새로운 인재를 모집하고 보안 분야의 직원을 육성하는 주요 장소로 데프콘 해킹 컨퍼런스를 주목하고 있다.

설리반은 “페이스북이 후원하고 있는 데프콘은 최상의 컨퍼런스”라며, “자신의 직업도 아니면서 자신의 돈을 들여가면서 보안에 애쓰는 사람들이 많다는 것도 큰 특징”이라고 말했다.

네티즌의견(총 5개)