마이크로소프트(MS), 구글, 아마존웹서비스(AWS) 등 미국 빅테크 기업들이 최근 거액의 상금을 걸고 ‘버그 바운티’를 진행하고 있다. 버그 바운티는 외부인이 해킹을 통해 기업 소프트웨어나 웹 서비스의 취약점을 발견하면 포상금을 지급하는 제도다. 버그 바운티를 활용하면 보안 담당 직원을 직접 채용하는 것보다 비용을 절감할 수 있고 오류 발견 확률도 더 높은 것으로 알려졌다.
28일 업계에 따르면 MS는 지난 19일 ‘제로 데이 퀘스트’라는 이름의 해킹 이벤트를 개최한다는 공고를 냈다. 버그 바운티 중 최대 규모로 알려진 이 행사는 MS가 연구원 45명을 직접 초청했으며, 연구 과제를 일반에 공개하는 방식으로 진행된다. MS는 프로그램을 내년 1월 19일까지 진행하며, 참가자들이 자사 인공지능(AI)과 클라우드 서비스 등에서 보안 결함을 발견하도록 유도할 방침이다. MS는 초대된 참가자를 대상으로 항공료, 호텔 숙박료 등을 제공하고 프로그램 결함을 발견한 연구원에게는 400만달러(약 55억원)를 지급할 예정이다.
구글은 지난달부터 구글 클라우드의 오류를 찾는 참가자에게 5만달러(약 6900만원)를 지급하는 버그 바운티를 진행하고 있다. 구글은 이용자에 대한 인증·권한을 부여할 때나 사이트 간 이동이 이뤄질 때 발생하는 보안 오류를 찾는 참가자에게 포상금을 지급할 예정이다. 구글은 오류에 대한 보고서를 작성하면 포상금 50%를 추가로 제공할 계획이다.
AWS도 지난 9월 첫 버그 바운티를 시작했다. AWS는 모회사인 아마존과 자사 서버를 대상으로 진행되는 적대적인 행위에 대한 가능성을 제시하는 참가자에게 포상금을 지급할 계획이다. 포상금의 정확한 규모는 아직 공개되지 않았지만 2만5000달러(약 3492만원) 수준일 것으로 업계는 예상하고 있다.
빅테크들이 버그 바운티를 여는 것은 비용 절감과 효율성 때문이다. 미국 UCLA는 2013년 진행된 연구를 통해 버그 바운티를 도입하는 것이 보안 전문가를 직접 채용하는 것보다 최대 100배의 비용 절감 효과가 있다고 밝혔다. 한국인터넷진흥원(KISA)은 2022년 버그 바운티 제도로 프로그램 상 심각한 취약점을 기존 대비 7배 이상 빠르게 찾을 수 있다고 분석했다.
빅테크는 AI·클라우드 기술 경쟁이 치열한 가운데 비용을 절감하면서 기술력을 높이는데 박차를 가하고 있다. AWS의 모회사 아마존은 이달 AI 기업 앤트로픽에 80억달러(약 11조원)를 투자했다. 구글도 올해 20억달러(약 2조7956억원)를 투자해 미국, 태국, 말레이시아 등에 클라우드 인프라를 구축하겠다고 발표했다.
최근 빅테크를 대상으로 한 사이버 공격이 이어지는 것도 버그 카운티가 확산되고 있는 이유 중 하나다. 지난 7월 MS 365 서비스가 분산서비스거부(DDoS·디도스) 공격으로 장애를 일으킨 사례가 수천건 이상 보고됐다. 지난해 8월 구글은 초당 트래픽 요청을 3억9800만건이나 보내는 사상 최대 수준의 디도스 공격을 받았다. 일반적으로 트래픽 요청 건수가 높아질수록 시스템이 마비될 확률이 높아진다.
채효근 IT서비스산업협회 상근부회장은 “버그 바운티 제도를 통해 시스템 결함을 효율적으로 찾을 수 있고, 만일 결함이 발견되지 않았다면 자사 서비스의 보안 수준이 높다는 점을 쉽게 홍보할 수 있다”고 설명했다.