[보안뉴스 문가용 기자] 지난 주 화요일 구글은 버그바운티 운영 10주년을 기념했다. 구글의 버그바운티는 ‘취약점 보상 프로그램(Vulnerability Rewards Program, VRP)’이

[보안뉴스 문가용 기자] 지난 주 화요일 구글은 버그바운티 운영 10주년을 기념했다. 구글의 버그바운티는 ‘취약점 보상 프로그램(Vulnerability Rewards Program, VRP)’이라고 불린다. 구글은 “10년 전 VRP를 처음 시작한 첫 날, 연구원들이 제출한 취약점 보고서는 총 25건이었다”며 “그렇게 시작한 것이 현재까지 1만 1055개로 늘어났다”고 발표했다. 또한 외부 취약점 연구자들에게 지출한 보상금은 총 2900만 달러가 넘는다고 덧붙였다. 실제로 오픈소스는 현대 소프트웨어 생태계에서 꽤나 중요한 위치를 차지하고 있음에도 버그바운티라는 시장 내에서 괄시받고 있다. 물론 인터넷 버그 바운티(Internet Bug Bounty) 등 오픈소스를 대상으로 한 버그바운티 프로그램이 존재하긴 하지만 아직 규모 면에서 미약하다. 오픈소스의 강화를 위한 목소리가 보안 업계로부터 계속해서 나오기 시작한 상황에서, 구글이 오픈소스 버그바운티를 주장한 건 자연스러운 흐름이라고 볼 수 있다. 버그바운티 프로그램은 적은 비용으로 취약점을 찾아내게 해 주고, 해킹 기술을 가진 자들이 다크웹으로 들어가지 않도록 어느 정도 억제하는 기능을 가지고 있다고 알려져 있다. 하지만 운영이 쉽지 않은 것이 사실이다. 특히 연구자들에게 줄 보상금 마련이 어려운 것으로 알려져 있다. 그렇기 때문에 구글이나 MS와 같은 큰 기업들이 앞장서서 하고 있고, 애플이 얼마 전까지 ‘인색하다’는 평가를 들었던 것이다. 구글은 앞으로 10년 동안 오픈소스를 위한 버그바운티에 집중하겠다고 발표했다. 인터넷 버그 바운티와 같은 기존 플랫폼의 확대를 돕고, 추가 플랫폼을 마련하여 개발자들이 악성 코드를 모르고 사용하는 일을 줄여나갈 것이라는 계획이다. 이를 위해 이미 지원하고 있는 오픈소스 버그바운티 프로그램들에 대한 지원책을 늘리고, 버그바운티 대상이 되는 오픈소스 요소들도 증대시키겠다고 한다. “현재까지는 웹 애플리케이션과 웹 프레임워크 관련 요소들만 버그바운티의 혜택을 받았는데, 앞으로는 VLC 플레이어처럼 사용자들 사이에서 널리 사용되는 소프트웨어들도 포함시킬 예정입니다.” 구글은 다음 10년을 예측하며 “인공지능과 머신러닝을 활용한 코드 분석 및 취약점 탐지가 더 활성화 될 것”이라고 발표했다. 실제로 인공지능은 개발과 취약점 연구에 유의미한 도움을 주고 있다. 예를 들어 지난 7월 깃허브(GitHub)는 개발자들에게 도움을 주기 위한 자동 개발 도구인 코파일럿(Copilot)을 발표했었다. 코파일럿은 머신러닝을 기반으로 한 플랫폼으로 오픈 AI(Open AI)의 코덱스(Codex)를 기반으로 하고 있다. 개발자들이 코딩을 ‘타이핑’할 때 자동으로 완성시켜 준다. 상세 내용은 링크를 참고해주시기 바랍니다 :-)