버그를 찾는 것이 당신을 백만장자로 만들 수 있다.
애플은 글로벌 오펜시브 보안 컨퍼런스인 Hexacon 2025에서 최고 보안 보상액(bug bounty)을 기존의 두 배인 200만 달러까지 상향 조정한다고 발표했습니다. 이를 통해 쿠퍼티노는 취약점을 찾아낸 사람들에게 보상을 제공하는 가장 관대한 기업이 되었으며, 보안 전문가들은 취약점 발견을 통해 500만 달러 이상의 보상을 받을 수 있는 추가 보너스 제도까지 마련했습니다. 애플의 보안 리서치 블로그에 따르면, 애플은 2020년 이래 800명 이상의 보안 연구원에게 이미 3,500만 달러 이상을 지급했으며, 이로써 평균 보상액은 43,750달러에 달합니다. 또한, 개인이 500,000달러의 보상을 받은 사례도 기록되어 있습니다.
최고 보상액인 200만 달러는 전문 용병 스파이웨어 공격이 이용하는 것과 유사한 정교한 익스플로잇 체인(exploit chains)을 발견한 사람에게 주어집니다. 이 외에도 애플의 'Lockdown Mode' 보안 환경이나 베타 소프트웨어의 취약점을 뚫는 사람들을 위한 보너스 시스템이 존재하며, 이를 통해 최대 500만 달러 이상의 수익을 얻을 수 있습니다. 그 외에도 iCloud 보안을 뚫는 경우 100만 달러의 보상, 무선 근접 공격에 활용 가능한 라디오 이용에 최대 30만 달러, 원클릭 WebKit 샌드박스 이스케이프 메커니즘을 개발한 경우 10만 달러, macOS에서 Gatekeeper를 우회하는 경우 10만 달러 등의 보상도 있습니다.
이러한 보상 프로그램이 참여할 수 있는 유일한 방법은 아닙니다. AMD는 작년에 최대 3만 달러의 지급액을 책정하여 자체 프로그램을 공개했고, 인텔은 최대 10만 달러를 제공합니다. 마이크로소프트의 현재 최대 상금은 25만 달러이며, 이 금액에 힘입어 지난여름 보안 취약점 보고서를 20건 이상 제출한 고등학교 3학년 학생에게 나이 제한을 만 13세까지 낮추기도 했습니다. 메타는 2011년에 버그 바운티 프로그램을 시작했으며, 현재 최대 보상액은 30만 달러(현재까지 총 2,500만 달러 지급)입니다. 마지막으로 구글은 2010년에 취약점 보상 프로그램(Vulnerability Reward Program, VRP)을 개시했습니다. 이 검색 거대 기업의 보상은 자사의 Titan M 보안 칩에서 발견되는 취약점의 심각도에 따라 몇백 달러에서 최대 100만 달러까지 다양합니다. 구글은 2024년에 660명의 연구원에게 1,180만 달러를 지불하여 평균 보상액을 17,800달러로 책정했습니다.
엔지니어, 로봇 청소기 7,000대에 영향을 미치는 취약점 공개에 3만 달러 수령
Anthropic의 최신 AI 모델, '모든 주요 운영 체제 및 모든 주요 웹 브라우저에서 수천 개의 제로데이 취약점' 식별
Microsoft, Edge 사용자 대상으로 200만 달러 추첨권 제공, 한 달간 아무도 알아채지 못해
이러한 보상 제도는 유능한 보안 연구원들에게 취약점 탐지 분야를 고수익 직업군으로 만들 수 있습니다. 기업 입장에서 볼 때 비용이 많이 드는 제안처럼 보일 수 있지만, 기업이 자발적으로 보상금을 지급하는 것이 외부 행위자가 이를 발견하여 적발망을 피하고 회사에 평판 및 재정적 손해를 초래하는 것보다 훨씬 저렴한 비용입니다. 더욱이, 소프트웨어의 결함은 국가 행위자나 기타 제3자가 특정 개인을 겨냥하기 위해 점점 더 정교한 수단을 이용함에 따라 생명을 위협하는 심각한 결과를 초래할 수도 있습니다.
Tom's Hardware 관련 최신 뉴스, 분석 및 리뷰를 받으려면 Google News에서 팔로우하거나, 저희를 즐겨찾는 소스로 추가해 주세요.