취약점 제보 늘어나고, 최소 상금과 최대 상금 역시 증가해
비공개 버그바운티와 고정 지급 받는 전문가 프로그램 확대 예정

[보안뉴스 문가용 기자] 

코드 공유 사이트인 깃허브(GitHub)가 2017년에 총 166,495 달러를 버그바운티 상금으로 지출했다고 발표했다. 

깃허브는 버그바운티를 4년간 진행해왔다. 

[이미지 = iclickart]

166,496 달러는 바로 전 해인 2016년의 총 지출액인 81,700 달러의 2배를 웃도는 금액이다. 

또한 4년간 진행해온 버그바운티 중 첫 3년의 총 상금인 177,000 달러와 비슷한 수준이기도 하다. 

첫 2년 동안 깃허브는 95,300 달러를 총 상금으로 지출한 바 있다. 

작년 깃허브는 총 840건의 취약점 제보를 받았다. 

하지만 상금이 수여된 것은 121건 뿐으로 15%에 그친다. 

2016년 깃허브는 795건의 취약점 제보 중 73건에만 상금을 주기도 했다. 

그나마 73건 중 진짜 심각하다는 판명을 받은 건 48건 뿐이었다. 

총 상금이 늘어나게 된 건 ‘상금 수여 자격’이 된다고 판명이 난 버그의 수가 늘어나서기도 하지만 최소 금액과 최대 금액도 각각 두 배 올랐기 때문이다. 

작년 최소 금액은 555 달러, 최대 금액은 2만 달러였다. 

깃허브의 그렉 오즈(Greg Ose)는 “상금, 참가 전문가 수, 보고되는 취약점 수가 꾸준히 증가해 역대 최대 규모의 버그바운티 프로그램을 운영했다는 것에 큰 의의가 있다”고 발표했다. 

작년 깃허브는 기존 버그바운티 프로그램에 깃허브 엔터프라이즈(GitHub Enterprise)라는 프로그램을 추가하기도 했다. 

이는 전문가들이 GitHub.com에 노출되지 않은 영역이나 기업용 깃허브에서 취약점을 찾을 수 있도록 해주는 확장형 버그바운티 프로그램이었다. 

또 하나 특이할만한 점은 깃허브가 2017년 사상 처음 연구원 이니셔티브를 신설했다는 것이다. 

이는 깃허브가 계속해서 시작하려고 했던 것으로, 특정 기능이나 영역만 집중해서 분석하고 취약점을 발견하도록 지원하면서 성과와 상관없이 고정금을 지불하는 제도다. 

물론 치명적인 취약점이 발견될 경우, 버그바운티 상금도 고스란히 지급된다.

지난 해 깃허브는 공개 버그바운티 외에 비공개 버그바운티도 진행했다. 

이를 통해 개발 단계에서의 취약점들을 크게 줄일 수 있었다고 한다. 

여기에 내부적인 버그바운티 보완 조치들도 다양하게 취하면서 2018년에 공개할 버그바운티 프로그램을 새롭게 정비하기도 했다.

깃허브는 2017년 한 해 동안 이뤄진 버그바운티를 ‘성공적’이라고 평하면서, 2018년에도 추가로 확대할 계획임을 밝혔다. 

아직 세부적인 내용이 다 공개된 것은 아니나 비공개 버그바운티 프로그램과 고정금을 받는 전문가 이니셔티브 쪽을 확대할 것이라고 한다.

올해 후반기에는 추가적인 행사도 진행할 예정이라고 하는데, 아직 그 그림은 정확히 나오지 않았다.

깃허브는 버그바운티 프로그램을 통해 “깃허브 내 형성되고 있는 개발 관련 생태계 자체를 깨끗하게 만들고, 그럼으로써 여러 코드와 제품, 서비스를 단단히 만들겠다”는 목표를 가지고 있다. 

“올해는 어떤 전문가들이 어떤 문제를 해결하고, 버그바운티 프로그램을 통해 전체 개발 문화에 어떤 변화를 가져올지 기대하고 있습니다.”

[국제부 문가용 기자(globoan@boannews.com)]

스포어에도 깃허브 이용하시는 분들이 많으셔서 퍼왔습니다 ^-^