페이스북이 자사 웹사이트, 앱을 비롯한 각종 서비스와 제품의 버그를제보한 사람들에게 지급하는 포상금으로 5년간 500만달러(약 56억6천만원)를 지불했다.
미국 지디넷은 13일(현지시각) 페이스북이 2011년부터 운영해 온 버그바운티프로그램을 통해 연구자 900명에게 500만달러치 상금을 지불했다고 보도했다.
[☞참조링크: Facebook's bug bounty: Now it's paid out $5m for security flaws to 900 hunters]
페이스북의 버그바운티프로그램은 페이스북 웹사이트와 앱 외에도 인스타그램, 오큘러스리프트, 프리베이직스, 왓츠앱에서 발견된 버그를 제보한 사람들에게 상금을 주는 방식으로 운영되고 있다. 페이스북 제품보안팀이 개발하면서 간과했던 버그를 찾아낸 세계 각지 연구자들의 아이디어를 채택해 사용자 수십억명에게 쓰이는 제품의 보안을 향상시킨다는 취지다.
지난 3월 인도 보안 엔지니어 아난드 프라카시는 페이스북 베타 사이트의 비밀번호 보안 기능 누락으로 14억개 페이스북 계정 중 어떤 것이든 가로챌 수 있게 해 주는 단순한 버그를 발견해 제보한 대가로 1만5천달러를 받았다.
페이스북 버그바운티 팀의 보안엔지니어 조이 타이슨은 올상반기 제보자 149명이 상금 61만달러를 받아갔으며 그 대부분은 인도, 미국, 멕시코에 있었다고 밝혔다. 그에 따르면 올 상반기 접수된 버그 제보는 9천건 이상이었다. 지난해 제보 건수는 1만3천233건에 달했지만 그중 유효한 건 93만6천달러 상금을 타간 210명의 제보 526건 뿐이었다.
버그바운티 프로그램 상금 지급액은 2013년 150만달러, 2014년 상반기 130만달러, 2015년 93만6천달러로 감소세를 보이다가 올 상반기만 61만달러에 달하면서 회복될 조짐을 보이고 있다.
페이스북은 이 프로그램을 단순히 보안 구멍을 메우는 수단으로 쓰는 게 아니라 숙련된 해커를 고용하기 위한 창구로도 활용하고 있다.
관련기사
- MS, 닷넷코어 취약점 잡기...새 버그바운티 프로그램 시동2016.10.14
- "SW취약점 신고 포상제, 민간 기업 참여 늘리겠다"2016.10.14
- 전병헌 "보안 취약점 신고 포상제 적극 도입해야"2016.10.14
- 세계보안대회서 2억원대 상금 탄 韓人 화제2016.10.14
타이슨은 "프로그램을 론칭한 이래 5년간 이만한 규모로 운영하기가 쉽진 않았고 더 광범위한 보안 연구 커뮤니티의 지원 없이는 이만큼 해낼 수도 없었을 것"이라며 "사실 우리는 팀내 많은 사람들이 (버그) 제보를 제출했던 연구자 커뮤니티를 통해 들어왔다는 점을 알게 됐다"고 밝혔다.
그는 페이스북이 계속해서 연구자들을 즐겁게 해 줄 변화로 이끌 것이라고 강조했다. 그는 페이스북이 이미 상금 지급 수단에 비트코인을 포함하고 지급 시스템을 자동화했으며 상금을 위한 검증에 관련 세부 내용을 곧 제시할 계획이라고 언급했다.
