백신업체, 자사 백신에서 버그 발견시 최대 5천 달러 지급!

어베스트, 버그 바운티 도입...최소 200달러에서 5,000달러까지

[보안뉴스 호애진] 보안업체 어베스트가 버그 바운티(bug bounty)를 도입하기로 했다. 이는 소프트웨어의 결함을 찾아내는 해커에게 보상금을 지급하는 프로그램이다.

현재 구글, 페이스북 등이 이러한 프로그램을 운영 중에 있다. 하지만 보안업체가 자사의 소프트웨어를 내걸고 보상금을 지급하는 경우는 처음이라 주목을 받고 있다.

보상금은 해당 소프트웨어의 보안 취약점을 발견한 경우에만 지급된다. UI나 현지화 작업, 웹 사이트 내 버그 등과 같은 정보도 받지만, 발견한 사항에 대한 보상금은 없다.

이번 보상 프로그램의 대상 제품은 어베스트 프리 안티바이러스(Avast Free Antivirus), 어베스트 프로 안티바이러스(Avast Pro Antivirus), 어베스트 인터넷 시큐리티(Avast Internet Security) 등 어베스트의 최신 소프트웨어들이다.

어베스트는 특히 원격 코드 실행과 로컬 권한 상승(privilege escalation) 버그, DoS 취약성, 어베스트! 샌드박스(avast! Sandbox) 우회 혹은 회피 가능한 버그, 스캐너 우회, 그 외 심각한 보안위협을 나타내는 버그 등에 관한 정보를 원하고 있다.

제보자에게는 심각성에 따라 버그 당 최소 200달러에서 그 이상이 지급되며, 원격코드 실행과 관련한 버그에는 3,000~5,000달러의 보상금이 지급된다.

정보를 제공할 경우, 어베스트가 해당 버그를 확실하게 재현할 수 있을 정도의 충분한 정보가 포함된 보고서를 제출해야 하며, 이메일(bugs@avast.com)로 보내면 된다.

어베스트 관계자는 “보안업체로서 우리는 소프트웨어 내 보안 버그가 현실이라는 것을 절실하게 깨닫고 있다. 또한 일반적으로 버그를 발견하고 수정하기 위해 보안 커뮤니티를 활용하는 업체가 그렇지 않은 업체보다 성공적이라는 것을 깨달았다”면서, “자사의 소프트웨어에 있는 보안 취약점을 발견하고 수정할 수 있도록 돕는 사람들에게 보상금을 제공하기로 결정했다”고 밝혔다.

[호애진 기자(boan5@boannews.com)]

<저작권자: 보안뉴스(http://www.boannews.com/) 무단전재-재배포금지>