버그 바운티는 오류·오작동을 의미하는 버그(Bug)와 포상금이란 뜻의 바운티(Bounty)를 합친 용어로, 소프트웨어나 웹서비스 취약점을 찾아낸 사람에게 포상금을 지급하는 제도다. 보안 취약점을 악용한 침해 사고를 사전 예방하고 화이트 해커 등 보안 전문가 육성에도 도움이 될 수 있다.
지니언스는 지난해 차세대 보안리더 양성 프로그램(BOB) 10기 교육생들과 취약점 분석 프로젝트를 공동 진행했다. 지난 3월부터 최근까지 버그 바운티를 운영한 결과, 총 26건의 취약점이 접수됐다. 공격 영향도·공격 난이도 등 보안 취약점 평가 국제 표준에 근거해 객관적인 기준에 따라 취약점을 평가했다.
지니언스의 버그 바운티 프로그램은 네트워크 접근 제어 솔루션인 '지니안 NAC'와 '클라우드 NAC CSM 서비스'가 대상이다. 단, 지니언스 홈페이지 등 현재 운영 중인 서비스에 대한 취약점은 불법적인 해킹 우려 및 관련법에 따른 검증권한 부재로 평가 및 보상에서 제외된다.
보안 취약점 신고서 등록 및 접수 확인은 수시로 이뤄지며 취약점 평가는 월 단위, 포상금 지급은 분기단위(1월·4월·7월·10월)로 이뤄진다. 접수된 취약점은 보안 취약점 평가 국제 표준(CVSS 3.1)을 기반으로 평가하게 되며 건당 최대 포상금은 2500달러(약 357만원)이다.
이동범 지니언스 대표는 "역량 있는 보안 전문가들의 노력으로 제품 및 서비스의 안정성에 큰 힘이 되고 있다"며 "보안 취약점에 대한 선제적인 대응 강화를 목표로 버그 바운티를 지속적으로 확대할 것"이라고 말했다.
<저작권자 © ‘돈이 보이는 리얼타임 뉴스’ 머니투데이. 무단전재 및 재배포, AI학습 이용 금지>