구글이 보안 취약점을 분석해 정보를 공유하기 위해 '프로젝트 제로(Project Zero)'이라는 팀을 새롭게 결성했다. 이 팀은 아직 보안패치가 공개되지 않은 제로데이 취약점에 대해 분석하고, 이를 악용한 공격을 막기위한 방법을 찾는데 목표를 두고 있다.
15일(현지시간) 미국 지디넷 등 외신은 구글이 프로젝트 제로를 통해 자사 운영체제(OS), 소프트웨어(SW) 외에도 광범위한 영역에서 많은 사용자들이 쓰고 있는 SW에 대한 보안성을 높일 계획이라고 보도했다.
구글은 앞서 구글닷컴, 유튜브 등 자사 서비스에 대해 그동안 알려지지 않은 취약점을 발견해 낼 경우 현상금을 지급하는 '취약점 보상 프로그램(Vulnerability Reward Program)'을 운영해 왔다.
프로젝트 제로는 이에 더해 보다 광범위한 영역에서 취약점을 직접 찾아내겠다는 것이다. 공격기술, 목표, 동기 등을 파악하겠다는 계획이다.
구글은 공격자 위치정보 파악, 광범위하게 악용된 취약점에 대한 보고서 등 기존에 해오던 업무에 더해 위험을 완화시킬 수 있는 방법, 취약점을 악용한 공격, 프로그램 분석 등에 대해 추가적인 연구를 수행한다.
새로 발견된 취약점들은 '구글 시큐리티 리서치'라는 외부 데이터베이스에 저장된다. 관련 내용은 소프트웨어 개발사들에게 전달할 계획이며, 서드파티 업체들에게는 별도로 제공하지 않을 방침이다.
또한 개발사들이 보안패치를 내놓은 취약점에 대한 분석정보도 게재할 계획이다. 이를 통해 보안연구원들이 취약점에 대해 논의할 수 있도록 하겠다는 것이다.
관련기사
- "MS, IE8 제로데이 7개월 째 방치"2014.07.16
- MS, IE 보안취약점 패치…윈도XP도 지원2014.07.16
- 美-英 정부 "취약점 패치될 때까지 IE 쓰지 마라"2014.07.16
- 새 IE 보안취약점 발견…웹브라우저 26%에 영향2014.07.16
기존에도 구글 연구원들은 마이크로소프트(MS), 애플 등으로부터 보안취약점을 발견해 관련 내용을 해당 회사에 통보하는 역할을 해왔다.
기존에 제로데이 취약점에 대해 연구하는 모임이 없었던 것은 아니다. HP 티핑포인트 제로데이 이니셔티브는 중요 취약점을 찾은 보안연구원에게 현상금을 지급한다. MS 보안블로그인 '시큐리티 테크센터' 를 통해 보안취약점에 대한 정보를 공유하고 있다.
