버그바운티 프로그램을 10년 동안 운영해 온 구글은, 앞으로 10년은 오픈소스의 차례라고 천명했다. 그러면서 오픈소스를 활용하는 모든 조직들이 오픈소스 관리에 참여하길 바란다고 말하기도 했다. 유의미한 변화를 불러일으킬 수 있을까.

 


버그바운티 제도에 대한 논란이 이제는 어느 정도 가라앉고 있다. 보완할 필요가 있을지언정 버그바운티 제도 자체는 미래에도 지속되어야 한다는 것이 대세 여론이라고 봐도 무방한 수준이다. 그런 가운데 구글이 “버그바운티를 오픈소스로도 확대해야 한다”고 주장했다.


 

[이미지 = utoimage]

 

 

지난 주 화요일 구글은 버그바운티 운영 10주년을 기념했다. 구글의 버그바운티는 ‘취약점 보상 프로그램(Vulnerability Rewards Program, VRP)’이라고 불린다. 구글은 “10년 전 VRP를 처음 시작한 첫 날, 연구원들이 제출한 취약점 보고서는 총 25건이었다”며 “그렇게 시작한 것이 현재까지 1만 1055개로 늘어났다”고 발표했다. 또한 외부 취약점 연구자들에게 지출한 보상금은 총 2900만 달러가 넘는다고 덧붙였다.

구글 VRP 관리자인 얀 켈러(Jan Keller)는 “일반 소프트웨어 생태계에 버그바운티 제도가 안정적으로 자리를 잡기 시작했으니 이제 이것을 오픈소스 커뮤니티 쪽으로 확대시켜야 할 시기”라고 주장했다. “현재 구글 내부에서는 오픈소스의 보안 향상을 위해 버그바운티를 어떻게 활용할 것인지 연구 중에 있습니다. 솔직히 취약점이 수년 내에 동날 정도로 부족한 영역은 절대 아니라고 보고 있습니다.”

실제로 오픈소스는 현대 소프트웨어 생태계에서 꽤나 중요한 위치를 차지하고 있음에도 버그바운티라는 시장 내에서 괄시받고 있다. 물론 인터넷 버그 바운티(Internet Bug Bounty) 등 오픈소스를 대상으로 한 버그바운티 프로그램이 존재하긴 하지만 아직 규모 면에서 미약하다. 오픈소스의 강화를 위한 목소리가 보안 업계로부터 계속해서 나오기 시작한 상황에서, 구글이 오픈소스 버그바운티를 주장한 건 자연스러운 흐름이라고 볼 수 있다.  [기사 더보기]

 

 

[출처 : 보안뉴스(https://www.boannews.com/)]

[기자 : 문가용 기자(globoan@boannews.com)]]