지니언스, 상반기 버그 바운티 취약점 103건 접수…전년 동기보다 129% 증가
지니언스는 올해 상반기 ‘보안 취약점 신고 포상제’를 운영한 결과 취약점 103건을 접수했다고 29일 밝혔다. 접수 건수는 전년 동기보다 약 129% 늘었으며 지급한 포상금은 약 1046% 증가했다.
보안 취약점 신고 포상제는 소프트웨어나 웹 서비스에서 취약점을 발견해 신고한 사람에게 포상금을 지급하는 제도다. ‘버그 바운티(Bug Bounty)’라고도 부른다. 기업은 외부 보안 전문가의 도움을 받아 공격에 악용되기 전에 취약점을 발견하고 조치할 수 있다.
지니언스는 인공지능(AI)을 활용한 취약점 탐색이 늘고 고위험 취약점이 잇따라 발견되면서 신고 건수와 포상금이 증가했다고 설명했다. 화이트해커가 AI를 이용해 소프트웨어의 취약점을 자동으로 찾는 사례도 늘고 있다고 덧붙였다.
지니언스는 한국인터넷진흥원(KISA)이 운영하는 소프트웨어 신규 취약점 신고 포상제의 공동운영사로 참여했다. 2022년에는 독자적인 버그 바운티 프로그램을 도입했다. 올해 2월부터 신고 대상을 모든 제품과 서비스로 확대했다. 국문·영문 페이지를 통해 국내외 화이트해커의 취약점 제보를 상시 접수하고 있다.
지니언스는 취약점 제보 정책(VDP)과 협력적 취약점 공개(CVD) 절차도 운영한다. VDP는 외부 연구자가 취약점을 신고할 수 있는 범위와 절차, 공개 시점 등을 정한 정책이다. CVD는 취약점이 공격에 악용되지 않도록 기업과 신고자가 패치와 공개 시기를 조율하는 절차다.
회사는 취약점을 접수한 뒤 제품을 수정하고 조치가 끝난 내용을 공식 채널에 공개한다. 고객은 공개된 정보를 확인하고 제품을 업데이트할 수 있다.
지니언스는 오픈소스 개발 플랫폼 깃허브(GitHub)의 ‘보안 권고(Security Advisories)’ 기능도 활용한다. 발견한 취약점에는 공개 취약점 식별번호(CVE ID)를 발급받아 취약점 내용과 조치 현황을 공개하고 있다.
김계연 지니언스 최고기술책임자(CTO)·미국법인장은 “자체 버그 바운티를 글로벌 수준의 CVD·VDP 체계로 강화해 고객에게 신뢰할 수 있는 제품을 제공하겠다”고 말했다.
글. 바이라인네트워크
<곽중희 기자>god8889@byline.network



