구글, 안드로이드 운영 체제의 버그 신고에 대해 40,000달러의 버그 바운티 발표

구글, 윤리 해커와 보안 연구원에게 40,000달러(£25,600)의 제안을 통해 안드로이드의 보안 취약점을 찾도록 초대

구글은 안드로이드 기기에서 버그를 발견한 보안 연구원에게 최대 40,000달러(£25,600)의 보상을 지급하기 시작할 것입니다. 이 회사는 또한 개발자들이 애플리케이션에서 구식 프로그래밍 라이브러리를 사용하지 않도록 유도하여 안드로이드 OS의 제3자 소프트웨어의 안전성을 보장하기 위한 새로운 프로그램을 발표했습니다.

안드로이드 보안 책임자인 아드리안 루드윅은 “우리는 모바일이 사람들이 인터넷에 연결하는 가장 중요한 방법이 될 가능성을 보고 있습니다. 또한, 우리는 그것이 이중 인증을 제공하고 사용자가 상호작용하는 방식에서 희망의 원인이 되고 있음을 보고 있습니다.”라고 말했습니다.

그러나 대부분의 보안 연구는 여전히 레거시 시스템에 주목하고 있습니다. 우리는 보안 연구원들이 모바일에 집중할 수 있도록 인센티브를 제공하여 이를 변화시키려고 노력하고 있습니다. “안드로이드 보안 보상”이라는 새로운 계획은 구글의 크롬 웹 브라우저를 위한 유사한 프로그램의 성과를 따를 것입니다. 2014년, 이 회사는 보안 연구원들에게 150만 달러 이상을 지급했습니다.

루드윅은 소프트웨어 라이브러리로 인해 보안 위협을 초래할 수 있는 안드로이드 앱을 검사하기로 한 결정이 1년 전에 내려졌으며 이제 “실험적” 도입을 넘어 시행될 것이라고 말했습니다. 그는 또한 앱 스캔에 대해 우리는 나쁜 행동을 의도적으로 찾지 않을 것이지만 실수를 찾을 것이라고 말했습니다.

루드윅은 2014년의 하트블리드 취약점이 떠오르는 오픈SSL의 명확한 예를 제시했습니다.

루드윅은 “우리는 오픈SSL의 오래된 이야기를 주목하고 있습니다. 약 1년 전부터 우리는 앱을 스캔하고 개발자에게 그런 유형의 실수를 했는지 알리고 있습니다. 우리의 목표는 공통 기준에 도달하는 것이며, 개발자가 자신의 앱을 업데이트할 수 있도록 구조를 마련하고 싶습니다. 그래서 모든 앱의 가치가 상승할 것입니다.”라고 말했습니다.

구글의 버그 보상을 청구하고자 하는 개발자는 회사의 두 개의 배송 넥서스 기기, 즉 넥서스 6와 넥서스 9에 영향을 미치는 취약점을 보여줘야 합니다. 안드로이드 시장의 분할로 인해 구글은 다른 안드로이드 기기에 영향을 미치는 버그가 운영 체제의 실수인지 제조업체의 추가 기능인지 증명할 수 없습니다. 보상은 슬라이딩 수준으로, 식별 외에 추가 작업 없이 제공되는 경미한 버그에 대해 500달러에서 시작하여, 원격 사용 및 문제 해결을 위한 증명 개념과 함께 제공되는 심각한 취약점에 대해 38,000달러까지 올라갑니다. “우리의 목표는 이것이 전일제 연구가 되고 매우 잘 보상받는 기회가 될 수 있다는 것입니다.”라고 루드윅은 말했습니다.

프로젝트 제로라는 별도의 구글 보안 계획은 다른 회사의 장치를 사용하여 증명 개념을 공개하는 관행으로 인해 회사에 약간의 논란을 일으켰습니다. 이 프로젝트는 이전에 식별되지 않은 취약점을 인식하고 이를 제조업체에게 90일의 수정 기한을 두고 공개하는 것을 목표로 합니다. 수정이 다가오지 않으면, 이 그룹은 공격을 공개하여 회사들이 보안 패치를 신속하게 진행하도록 유도할 것입니다.

회사가 스스로 주장하는 것을 실천하고 있음에도 불구하고: 루드윅은 안드로이드 취약점이 프로젝트 제로에 의해 찾아진다고 말합니다. 프로젝트 제로가 어떤 문제를 식별하면 우리는 그 목표 내에서 작업할 수 있는 시간 제한이 주어지며, 다른 모든 사람과 동일합니다. 우리는 지금까지 기한을 놓친 적이 없습니다.

“우리는 제조업체가 신속하게 대응하도록 만드는 것을 완전히 믿습니다. 모든 관련 당사자는 신속하게 대응해야 합니다.”