Offcanvas

보안 / 소비자IT / 악성코드 / 애플리케이션

'오피스 현상금의 2배'… MS, 팀즈 버그바운티 공개

2021.03.30 Gregg Keizer   |  Computerworld
MS가 팀즈의 취약점을 찾아내는 보안 연구자에게 최대 3만 달러의 현상금을 지급하는 새 버그바운티를 공개했다. 팀즈의 위상이 점차 높아지고 있다는 신호로 풀이된다. 

팀즈의 입지가 최고조에 이르렀음을 보여주는 데 있어 3만 달러라는 현상금만한 게 없다. 

지난주 MS는 회사의 현재와 미래의 전략을 계획하는 데 있어 팀즈가 차지하는 중요성을 강조하며, 이전에 알려지지 않은 취약점을 보고하는 보안 연구자들에게 최대 3만달러의 현상금을 지급하는 새 버그바운티 프로그램을 공개했다. 여타 오피스 애플리케이션의 취약점 발견에 걸었던 최대 금액의 두 배다. 
 
ⓒGetty Images Bank

새 프로그램의 명칭은 ‘마이크로소프트 애플리케이션 바운티 프로그램’이며 팀즈의 데스크톱 클라이언트만을 대상으로 한다. MS에 따르면 여타 애플리케이션도 버그바운티 프로그램에 포함될 예정이다. 하지만 회사는 시점에 대해선 언급하지 않았다. 

MS는 새 버그바운티에 대한 글에서 고객의 보안과 프라이버시에 ‘매우 높은 파급력을 미칠 수 있는’ 취약점을 5가지 시나리오로 나눠 구체적으로 나열했다. 현상금은 최소 6,000달러에서 최대 3만 달러에 달한다. 현상금이 가장 크게 걸린 취약점은 ‘사용자와의 상호작용 없이 이뤄지는 원격 코드 실행’이었다. 

다른 사용자의 인증 크레덴셜을 획득할 수 있는 취약점(피싱은 제외)에는 최대 1만 5,000달러의 현상금이 걸렸다. 

또한 이 글에는 원격 코드 실행 취약점부터 스푸핑 혹은 탬퍼링까지 일반적인 버그에 걸린 현상금에 대한 설명도 있다. 취약점의 심각성, 발견자의 보고 품질에 따라 현상금은 500달러에서 1만 5,000달러에 달한다. 

반면, ‘오피스 인사이더 빌즈 온 윈도우’ 프로그램에 걸린 현상금은 최대 1만 5,000달러다. 이외에 MS가 최대 3만 달러의 현상금을 책정한 애플리케이션으로는 엣지 브라우저가 있다(MS는 윈도우의 보안 기능인 윈도우 디펜더 애플리케이션 가드의 취약점에도 최대 3만 달러의 현상금을 걸었다). 

수많은 바운티 프로그램의 현상금 금액을 보면 MS가 소프트웨어 생태계의 각 프로그램들을 어느 정도로 중시하는지 알 수 있다. 팀즈에 걸린 현상금은 애플리케이션치고는 최상위 수준이지만, 윈도우ID 서비스에 걸린 최대 10만 달러의 현상금보다는 적다. 

MS의 바운티 프로그램에 올라온 전체 현상금 목록은 여기서 확인할 수 있다. ciokr@idg.co.kr
 
CIO Korea 뉴스레터 및 IT 트랜드 보고서 무료 구독하기
추천 테크라이브러리

회사명:한국IDG 제호: CIO Korea 주소 : 서울시 중구 세종대로 23, 4층 우)04512
등록번호 : 서울 아01641 등록발행일자 : 2011년 05월 27일

발행인 : 박형미 편집인 : 천신응 청소년보호책임자 : 한정규
사업자 등록번호 : 214-87-22467 Tel : 02-558-6950

Copyright © 2024 International Data Group. All rights reserved.