구글이 자사 제품 보안 취약점을 찾아주는 화이트해커에 4000만원 상당 보상금을 지급한다.
구글이 최근 자사 안드로이드 단말기에서 버그를 발견한 보안 전문가에게 최대 3만8000달러(약 4243만원)를 보상할 계획이라고 가디언이 17일 보도했다.
일명 ‘안드로이드 보안 리워즈(Android Security Rewards)’라 불리는 보상 프로그램은 구글 크롬 웹 브라우저에서 회사가 실시 중인 것과 유사하다. 지난해 구글은 구글 크롬에 대한 보안 버그를 발견한 보안 전문가에 150만달러(약 16억7500만원) 이상을 지불했다.
프로그램 적용 제품은 넥서스6, 넥서스9이다. 해커는 이들 제품에 치명적 결함이 있다는 것을 증명하면 된다. 식별 이상 추가 작업이 필요 없는 사소한 버그는 최소 500달러(약 56만원) 보상을 받게 된다. 심각한 취약점을 발견해 이 개념을 증명하고 원격 패치로 이를 고치는 방안까지 제시하면 3만8000달러를 받는다.
안드리안 루드위그 구글 안드로이드 보안 담당자는 “우리는 모바일 기기가 사람들이 인터넷에 접근하는 가장 중요한 통로가 될 것으로 판단한다”며 “구글은 이중인증 시스템과 사용자 상호작용 방식에 대한 신뢰성 확보 방안을 모두 제공 중”이라고 밝혔다.
그는 이어 “보안업계가 모바일로 시야를 돌릴 수 있도록 인센티브를 제공하게 됐다”고 설명했다.
회사는 이와 함께 새로운 프로그램 ‘프로젝트 제로(Project Zero)’도 시작했다. 이전 버전 프로그래밍 라이브러리를 수정하고 90일안에 이로 인해 발생한 취약점까지 공개하도록 했다. 수정이 되지 않을 경우 업체명을 공개할 예정이다. 안드로이드 운용체계(OS)를 이용하는 모든 스마트폰 제조사 및 앱 개발사가 대상이다.
구글은 1년 전 보안을 위협할 수 있는 소프트웨어 라이브러리를 가진 안드로이드 앱 스캔 작업을 결정했다. 안드리안 루드위그 담당자는 “앱 스캐닝 작업 중 우리는 의도적인 악행뿐 아니라 실수도 찾을 수 있었다”며 “지난해 사상 최악 취약점으로 꼽혔던 하트블리드(Heartbleed)도 오픈소스 암호화 라이브러리인 오픈SSL(OpenSSL)이 있었던 게 명백한 예”라고 말했다.
하트블리드는 SSL/TLS가 보호하는 정보에 접근해 개인 키 등을 빼내갈 수 있었던 버그로, 오픈SSL의 취약점이었다. 오픈SSL 프로그래밍을 잘못해 지난 2012년 3월 1.0.1 버전에서부터 널리 알려져 악용됐다. 지난해 4월 오픈SSL 1.0.1g 버전에서야 이 문제가 해결됐다.
김주연기자 pillar@etnews.com