구글 해킹상금 지급 '돈 잃고 명예 잃고'

크롬 브라우저 보안성을 자랑하기 위해 자신만만하게 해킹 상금을 내놓았던 구글이 해커에게 돈도 잃고 명예도 잃게 됐다.

씨넷뉴스는 8일(현지시간) 구글이 캐나다 밴쿠버에서 열린 해킹대회 Pwn2Own에 내걸었던 해킹 상금 100만달러 중 6만달러를 자사 브라우저 크롬의 보안 취약점을 찾아낸 해커 세르게이 글라주노프에게 지급하기로 했다고 보도했다.

글라주노프는 구글플러스 페이지에서 브라우저 샌드박스 보안을 우회할 수 있는 크롬 취약점을 찾아냈다. 보호된 영역 안에서 프로그램을 동작시켜 외부 요인에 의해 악용되는 것을 방지하는 샌드박스 보안 모델을 채택해 보안성이 높다고 자부한 구글이 굴욕을 당한 것이다.

그는 이 취약점을 이용하면 얼마든지 악성 해커가 기기에 접속해 감염을 시킬 수 있다는 사실도 밝혔다.

크롬 보안팀 저스틴 스츄는 지디넷과의 인터뷰에서 “글라주노프가 사용자 로그를 전체적으로 허용해주는 코드를 실행할 수 있는 사실을 찾아냈다”면서 “이 취약점을 발견한 것은 매우 인상적이었으며 그에게 6만달러의 상금을 지급하기로 했다”고 설명했다.

그러나 구글이 원래 해킹대회에 거액의 상금을 내놓게된 배경에는 단순히 보안성 강화를 위해서만은 아니었다. 구글은 블로그를 통해 “철저한 보안을 자랑하는 크롬 브라우저 장점을 부각시키기 위해서다”고 언급한 바 있다. 그런데 해킹대회가 시작되자마자 구글이 굴욕을 당한 것이다.

관련기사

현재 구글은 글라주노프가 구글플러스 페이지에서 발견한 취약점을 개선 중이다. 개선된 취약점은 자동 업데이트를 통해 지원될 예정이다.

구글 측은 “해킹대회를 통해 보안성을 높이고 보안 커뮤니티를 장려하고자 하는 면에서 해킹 상금 지급은 우리에게도 매우 흥미로운 일이라고 생각한다”면서 “크롬 브라우저의 보안성을 더욱 높여나가기 위해서 더욱 많은 사람들이 추가적으로 취약점을 제출해주길 바란다”고 밝혔다.