Skip to content

iDefense의 VCP 사업 개선을 위한 노력 (해커에게 더 많은 돈을!)

February 9, 2012

어제 날짜로, iDefense로부터 VCP contributor들에게 메일이 왔습니다. (VCP는 해커들로부터 소프트웨어 취약성 정보를 구매하는 사업입니다.) 메일 내용을 요약하면 “앞으로는 버그 헌팅에 대한 보상을 더 잘해줄테니, 적극적으로 참여해달라.”입니다. 주요 내용을 간략하게 정리해보겠습니다.

iDefense라는 회사를 아시는 분들이 국내에도 많이 있는 것으로 알고 있습니다. 과거에 iDefense 직원들이 한국의 컨퍼런스에 와서 발표를 하기도 하였고, 무엇보다도 이 회사가 해커들로부터 취약점을 사는 회사 중에 하나이기 때문에 잘 알려져 있죠. 이 회사의 취약점 구매 사업의 이름은 VCP(Vulnerability Contributor Program)입니다.

ZDI도 그렇지만 iDefense 역시 VCP 프로그램에 참여하는 해커들에게 잘해주기 위해서 노력하고 있습니다. 가령, 매년 블랙햇 같은 컨퍼런스에서 파티를 여는데, VCP에 버그를 리포트한 사람들을 초대해서 미팅 등을 주선해주고 있죠. 저도 이 VCP의 contributor 중에 한명입니다.

안타깝지만 현재 iDefense의 VCP는 별로 성과가 좋지 않은 것으로 알고 있습니다. 가장 큰 이유는 버그를 구입할 때 해커에게 지불하는 금액이 너무 낮다는 것입니다. (물론, 다른 외국 회사에 비해서 낮다는 것이지, 한국의 상황보다는 훨씬 더 좋은 조건으로 구매하고 있습니다.)

어쨌거나, iDefense는 각종 버그를 구입하는 사업에 있어서는 업계에서 비교적 선구자였지만 시작만 좋았지 세월이 흘러갈수록 보안 업계의 현황을 파악하지 못해 시들해지고 있었죠.

저도 이 회사가 페이를 좋게 주는 편은 아니라는 것을 알고 있었기 때문에, 한동안 버그를 보내지 않았습니다. 어느 날 한 임원이 저에게 왜 요즘엔 버그 리포트를 안하냐고 물어오길래, 페이가 낮아서 안 한다, 차라리 ZDI에 하는 것이 훨씬 낫다고 솔직히 얘기해주었습니다. 본인들의 문제점을 인지하기 시작한 것이죠.

그렇게 시간이 지나고, 개선을 위해서 내부적으로 많은 노력을 했나 봅니다. 어제 날짜로, iDefense로부터 VCP contributor들에게 메일이 왔습니다. 메일 내용을 요약하면 “앞으로는 버그 헌팅에 대한 보상을 더 잘해줄테니, 적극적으로 참여해달라.”입니다. 메일 내용 전체를 본 블로그에 올리기보다는, 주요 내용을 간략하게 정리해보겠습니다.

 

[다음은 iDefense에서 VCP contributor에게 보낸 메일을 요약한 것입니다.]

1. iDefense는 VCP contributor들에게 더 좋은 혜택을 주기 위해 노력해 왔습니다. 이를 위해 contributor들과 우리의 고객들에게 여러 피드백을 받았죠. 우리는 VCP가 개선되어야 할 필요성을 느꼈고, 몇 가지 방안을 생각해놨습니다.

2. 거두절미하고, 앞으로는 버그들에 대해서 더 많은 금액을 지불하겠습니다.

3. 우리 고객들이 특별히 관심있어 하는 버그를 리포트하신다면 더 많은 금액을 받으실 수 있습니다. 웹 브라우저, 이메일 클라이언트 등이 그렇습니다. 또한 모바일 플랫폼에 대한 버그들도 받고 있습니다.

4. 이제부터는, 로컬 권한 상승 취약점도 우리의 관심사가 될 것입니다. 로컬 권한 상승에 대한 버그를 보내주십시오.

5. 문서화를 잘하시면 더 높은 가치로 인정해드리겠습니다. 자세한 설명, 익스플로잇 방법, 패치 방법 등에 대해서 기술해주시면 문서를 평가한 후 정당한 보상을 해드리겠습니다.

 

위 요약문을 보시다시피, 해커들에게 좋은 보상을 해주려고 노력하고 있죠. 이렇게 해커들을 유인하는 회사는 iDefense뿐만이 아닙니다. 특히 미국이 두드러지게 활동하는 경향이 있지만, 다른 국가들에서도 이런 움직임을 보여주고 있습니다. (이렇게 제보받은 취약점을 과연 어디에 쓸 것인지에 대해서 논쟁하는 것은 별개이기 때문에 이 글에서는 제외하겠습니다.)

외국의 어떤 유명 해커가 한국에 왔을 때 준 정보인데, 훌륭한 웹 브라우저 버그일 경우 최소 1억원 이상의 보상금을 받을 수 있다고 합니다. 그럼에도 불구하고 없어서 못 산다고 합니다. 즉, 이러한 버그를 구매할 돈은 언제든지 준비되어 있다는 얘기이죠.

국내에서 버그 헌팅을 하시는 분들 중에, 본인들이 찾은 버그를 어떻게 활용해야 하는지 방법을 모르시는 분들은 저에게 문의하시면 조언을 드리겠습니다.

Advertisements

From → Security Misc

One Comment
  1. This piece of writing is genuinely a pleasant one it assists new web people,
    who are wishing in favor of blogging.

댓글을 남겨주세요.

Fill in your details below or click an icon to log in:

WordPress.com Logo

You are commenting using your WordPress.com account. Log Out / Change )

Twitter picture

You are commenting using your Twitter account. Log Out / Change )

Facebook photo

You are commenting using your Facebook account. Log Out / Change )

Google+ photo

You are commenting using your Google+ account. Log Out / Change )

Connecting to %s

%d bloggers like this: