Offcanvas

개발자 / 보안

보안 결함 발견하면 최대 100만 달러··· 애플, 현상금 프로그램 발표

2019.12.23 김달훈  |  CIO KR
애플이 자사 생태계를 위협하는 보안 위협 해결을 위해, '보안 현상금'(Apple Security Bounty) 프로그램을 발표했다. 보안 현상금 프로그램은 사용자나 전문가들의 노력과 경험을 빌려, 그런 위험과 위협 요소를 찾아내는 프로젝트다. 

보안 현상금 프로그램은 보안 취약점을 발견하거나, 이를 악용할 수 있는 기술을 확인하고, 이를 제보하는 사람이나 단체에게 포상금을 지급하는 정책이다. 수많은 고객과 해커 그리고 전문가들의 집단 지성과 능력을 활용해, 잠재적인 문제점을 빠르게 발견해서 해결하겠다는 것이다. 이를 통해 애플의 제품과 플랫폼을 보호하고, 궁극적으로 고객의 정보와 자산을 지키는 것이 프로그램의 목적이다.


'애플 시큐리티 바운티’ 프로그램은 발견한 보안 위협의 위험성과 중요도에 따라 최대 보상금을 구분해 지급한다. 최대 포상금은 최소 10만 달러에서 최대 100만 달러까지 지급될 예정이다.(자료 : 애플)

프로그램 참여에는 제한이 없지만, 지켜야 할 수칙은 비교적 엄격하다. 그중에서 무엇보다 가장 중요한 것은, 발견한 보안 위협 요소를 애플이 해결하기 전까지는, 공개하지 않아야 한다는 점이다. 발견한 문제점은 권고 사항과 약관에 따라, 보고서를 작성한 후 애플에 제출하면 된다. 애플은 보고서 내용을 검토하고, 사전에 구분한 카테고리와 중요도에 따라 포상금을 지급하게 된다. 

보안 위협 요소는 공개적으로 사용 가능한 최신 아이오에스(iOS), 아이패드오에스(iPadOS), 맥오에스(macOS), 티브이오에스(tvOS), 위치오에스(watchOS)로 구동되는 최신 하드웨어 제품에서 발생한 것만 인정한다. 소위 탈옥이라는 방법으로 정상적인 운영체제를 해킹한 장치, 최신 운영체제가 아닌 이전 버전의 운영체제를 탑재한 하드웨어 등은 대상이 아니라는 뜻이다.

보안 위협 카테고리는 크게 아이클라우드(iCloud), 물리적인 액세스를 통한 장치 공격, 사용자 설치 앱을 악용한 장치 공격, 사용자 상호 작용을 통한 네트워크 공격, 사용자 상호 작용 없는 네트워크 공격으로 나누어진다. 각각의 카테고리에는 세부적인 위협 요소 항목이 분류되어 있고, 보안 위협의 심각성과 중요도에 따라, 각 항목의 최대 포상금이 정해져 있다. 포상금 규모는 최소 10만 달러에서 최대 100만 달러에 달한다. 

프로그램에 대한 자세한 안내와 보고서 작성 방법 및 포상금 지급 규정 등은 프로그램 페이지를 방문하면 된다. 카테고리 및 항목별 최대 포상금 지급 계획은 보면 다음과 같다. 우선 아이클라우드 카테고리는 ‘아이클라우드 계정에 대한 무단 액세스’에 대한 제보를 받는다. 아이클라우드 계정에 대한 제한적인 무단 제어는 최대 2만 5,000달러, 광범위한 무단 제어에는 치대 10만 달러의 포상금을 지급한다.

장치에 대한 물리적인 액세스는 잠금 화면 우회, 사용자 데이터 추출 두 가지 하위 카테고리로 분류되어 있다. 잠금 화면 우회는 민감한 데이터에 대한 접근 정도에 따른 항목별 최대 포상금은 소량일 때 2만 5,000 달러, 부분 접근은 5만 달러, 광범위한 접근의 경우는 10만 달러가 걸려 있다. 사용자 데이터 추출의 경우 ‘부분적’은 최대 10만 달러 ‘광범위’는 최대 25만 달러의 포상금을 준다. 

사용자 설치 앱을 통한 보안 위협은 크게 ‘민감한 데이터 대한 무단 접근’, ‘커널 코드 실행’, ‘CPU 사이드 채널 공격’의 세부 카테고리로 구분된다. 사안의 중요도에 따라 소량의 민감한 데이터 접근은 최대 2만 5,000 달러, 광범위한 데이터 접근은 최대 10만 달러, 커널 코드 실행은 10만 달러, 우회를 포함한 커널 코드 실행 최대 15만 달러, CPU 사이드 채널 공격은 최대 25만 달러가 주어진다.

사용자 상호 작용을 통한 네트워크 공격은 ‘민감한 데이터에 대한 원클릭 무단 접근’과 ‘원클릭 커널 코드 실행’으로 카테고리를 구분했다. 민감한 데이터에 부분적인 원격 접근은 최대 7만 5,000달러, 광범위한 원격 접근은 최대 15만 달러를 받을 수 있다. 원클릭 커널 코드 실행은 사안에 따라 최대 15만 달러와 최대 25만 달러의 포상금이 지급되는 두 가지 항목으로 나뉜다. 

사용자 상호작용이 없는 네트워크 공격은 세 가지 하위 항목으로 구성된다. '물리적인 근접성을 가진 커널에 대한 제로-클릭 라디오'는 세 가지 항목으로 구분하며, 각각 최대 5만 달러, 20만 달러, 25만 달러가 주어진다. '민감한 데이터 대한 제로-클릭 접근' 역시 세 가지 항목으로 구성되어 있고, 위험 요소에 따라 최대 10만 달러, 25만 달러, 50만 달러가 지급된다. ‘지속성 및 우회를 통한 제로-클릭 커널 코드 실행’은 최대 100만 달러의 포상금이 책정되어 있어, 최대 포상금 지급액이 가장 많다. ciokr@idg.co.kr
CIO Korea 뉴스레터 및 IT 트랜드 보고서 무료 구독하기
추천 테크라이브러리

회사명:한국IDG 제호: CIO Korea 주소 : 서울시 중구 세종대로 23, 4층 우)04512
등록번호 : 서울 아01641 등록발행일자 : 2011년 05월 27일

발행인 : 박형미 편집인 : 천신응 청소년보호책임자 : 한정규
사업자 등록번호 : 214-87-22467 Tel : 02-558-6950

Copyright © 2024 International Data Group. All rights reserved.