구글이 오픈소스 프로젝트를 다루는 새로운 OSS VRP(Open Source Software Vulnerability Rewards Program)의 일부로 새로운 버그 바운티 프로그램을 시작했다.
오픈소스 프로젝트에 대한 취약점을 발견하면, 최대 3만 1337달러(약 4202만 원) 최저 100달러(약 13만 원)를 지불한다고 밝혔다.
구글은 "Vulnerability Reward Programs(VRP) 제품군에 구글의 OSS VRP를 추가했다. 이를 통해 연구원들은 오픈 소스 생태계에 잠재적으로 영향을 미칠 수 있는 버그를 찾을 수 있다”라고 설명했다.
약 12년 전 VRP 프로그램음 처음 시작됐다. 시간이 지남에 따라 프로그램은 크롬 브라우저 및 안드로이드 OS와 같은 추가 제품 및 서비스를 다루기 시작했다. 구글은 지금까지 약 1만 3000개 이상의 버그 발견에 대해 보상했으며, 비용은 총 3800만 달러(약 509억 5800만 원) 이상이다.
이번에 시작한 새로운 버그 바운티 프로그램은 구글의 오픈 소스에서 사용되는 코드를 보호하고 공급망 공격 증가의 위험을 줄이는 것을 목표로 한다.
구글은 "작년에는 단일 오픈 소스 취약점의 파괴적인 잠재력을 보여준 Codecov 및 Log4Shell과 같은 주요 사건을 포함해 오픈 소스 공급망을 표적으로 하는 공격이 전년 대비 650% 증가했다. 구글의 OSS VRP는 Google 사용자와 전 세계 오픈 소스 소비자 모두를 위해 이러한 유형의 공격으로부터 공급망을 보호하는 것을 포함해 사이버 보안을 개선하기 위한 100억 달러 약속의 일부다"라고 설명했다.
한편, 구글은 화이트 해커와 버그 헌터가 공급망 손상, 설계 문제, 기타 보안 문제로 이어지는 취약점을 제출할 것을 권장했다.
*이 기사는 글로벌 정보 보안 블로그 ‘시큐리티 어페어즈(Secutiry Affairs)’의 설립자이자 유럽네트워크정보보안기구(ENISA) 소속 보안 전문가 피에루이지 파가니니(Pierluigi Paganini)와의 공식 파트너십을 통해 작성됐습니다.
