어도비가 자사 서비스에서 발견된 보안취약점을 신고하면 이에 따른 보상을 지급하는 '버그바운티' 제도를 실시한다. 이미 마이크로소프트, HP 제로데이이니셔티브(ZDI), 구글, 페이스북 등이 선보인 것과 같은 모델이다.
5일(현지시간) 어도비는 자사 제품침해사고대응팀(PSIRT) 블로그를 통해 '해커원' 플랫폼 내에 웹애플리케이션 취약점 공개 프로그램을 시행한다고 밝혔다.
해커원은 버그바운티를 전문적으로 대행하는 회사다. 이에 따라 어도비 플래시, 어도비 리더 등 프로그램에서 발견한 보안취약점을 해커원에 신고하면 보상금을 받을 수 있다.
어도비 PSIRT 소속인 피에터 오커스 보안프로그램매니저는 어도비 고객들의 안전을 위해 독립적인 보안연구원들이 중요한 역할을 하게될 것으로 본다고 밝혔다.
어도비측은 자사 제품에서 발견된 취약점에 한해서만 보상금을 지급할 계획이다. 특히 크로스사이트스크립팅(XSS), 서버 단에서 코드 실행, 삽입과 인증 취약점, 잘못된 보안설정 등에 대한 내용을 다룬다.
관련기사
- 윈도-맥-리눅스 노린 플래시 취약점 주의2015.03.06
- MS-어도비, 새 보안 업데이트 공개2015.03.06
- 어도비 플래시 악용한 악성코드 유포 '주의'2015.03.06
- 애플, 구버전 플래시 플러그인 차단2015.03.06
버그바운티 프로그램은 해커들이 취약점을 악용하는 대신, 해당 회사에 이를 보완할 수 있는 기회를 제공해준다는 점에서 보안성을 높일 수 있다. 우리나라에서는 한국인터넷진흥원(KISA)이 이러한 프로그램을 운영 중이다.
미국 지디넷에 따르면 2월 마이크로소프트는 최신 인터넷익스플로러에서 심각한 취약점을 발견해 제보한 보안연구원에게 12만5천달러 보상금을 지급했다. 페이스북의 경우 2011년 버그바운티를 처음 도입한 이후 약 300만달러의 상금을 지급했다. 2013년, 2014년 보상금 지급액은 각각 150만달러, 130만달러에 달한다.
