10주년 맞은 페이스북 버그 포상 프로그램

구글과 애플 등 IT 기업 대부분은 서비스 취약점을 보고해 상금을 받을 수 있는 버그 포상금 프로그램을 설립했다. 페이스북도 2011년부터 자사 버그 포상금 프로그램(Bug Bounty Program)을 운영해 2020년 10주년을 맞았다. 10주년을 맞아 페이스북 보안 엔지니어링 매9니저인 댄 거핑켈(Dan Gurfinkel)이 프로그램 역사와 현재 그리고 미래에 대해 밝혀 눈길을 끈다.

페이스북 버그 포상 프로그램 참여자는 발견되지 않은 취약점을 보고해 페이스북 보안과 개인 정보 보호 향상에 기여한다. 문제를 빠르게 수정하고 페이스북 커뮤니티를 보호하기 위해 버그 포상금 프로그램이 도움이 될 수 있으며 지급되는 보수는 더 질 높은 보안 연구를 촉진하는 동기가 될 것이라는 설명이다.

지난 10년간 5만 명 이상 연구자가 이 프로그램에 참여했으며 이 가운데 1,500명이 보상을 받았다고 한다. 보상을 받은 연구자 국적은 107개에 달한다. 연구자 중에는 페이스북 보안팀과 엔지니어링팀에 합류해 페이스북 플랫폼을 지키는 일을 계속하는 이들도 있다고 한다. 댄 거핑겔 역시 이런 케이스 중 하나다.

페이스북 버그 포상금 프로그램이 2020년 시점 상태를 보면 2011년부터 페이스북 버그 포상금 프로그램에는 13만 건 보고가 이뤄졌고 이 중 6,900건이 보상을 받았다. 2020년 보고된 1만 7,000건 보고서 중 보상 대상이 된 건 1,000건 이상이다. 또 2020년에는 198만 달러 이상 포상금을 50여개국 연구자에게 지불했으며 1년 지불한 보상금은 지난 3년간 매년 사상 최고치를 경신하고 있다. 2020년 보상을 받은 국가 상위 TOP3은 인도와 튀니지, 미국이다.

페이스북은 수정이 필요한 문제에 대한 보고서를 검토할 때 제출된 보고서 내용만 보는 게 아니라 문제를 더 깊이 이해하기 위해 코드 근저에 있는 영역까지 확인한다. 이런 적극적 조사를 통해 이용자 보안과 개인 정보를 더 보호하기 위해 개선 사항을 발견할 수 있도록 하고 있다는 것이다. 버그 보고 프로그램이 10주년을 맞아 거핑겔은 연구자 커뮤니티가 페이스북 보호에 기여해온 영향을 인식하고 중요한 문제 발견과 해결에 도움이 된 2개 보고서를 소개하기도 했다.

보고서 중 하나는 2020년 페이스북 버그 포상금 프로그램에 참여한 연구자, 또 하나는 구글 취약점 연구 프로젝트인 프로젝트 제로(Project Zero) 연구에서 보고된 것이다. 어떤 버그도 팀에 의해 빠르게 패치됐을 때 문제에 대한 자동 감지 기능, 수동 코드 리뷰를 결합한 후속 검토를 통해 추가 보호를 했고 모두 악용된 흔적은 없다고 한다.

첫 보고서는 2020년 초에 보고된 것이다. 슬라맛 하리안토(Selamet Hariyanto) 씨가 전 세계 페이스북 이용자에게 콘텐츠를 제공하는 CDN에 대해 만료가 될 URL이 존재하는 버그를 발견한 것이다. 보고된 버그 자체 영향은 적고 곧바로 수정됐지만 내부 연구팀에 의해 뛰어난 해커라면 원격 코드를 실행할 수도 있었다고 밝혀졌다. 페이스북 버그 포상금 프로그램은 비록 먼저 보고서에 보고된 문제가 영향이 적은 것이라도 보고를 통한 최대한 영향을 바탕으로 보상 금액을 결정하기 때문에 페이스북은 그에게 80만 달러를 지불했다고 한다.

2번째 보고서는 2020년 가을 프로젝트 제로팀 나탈리 실바노비치(Natalie Silvanovich)가 보고한 메신저 취약점이다. 구체적으론 안드로이드용 메신저 앱으로 들어오는 동안 공격자가 메신저에 로그인하고 다른 메신저 사용자에게 메시지를 보낼 수 있다는 취약점이었다. 이 취약점으로 인해 상대방 기기가 들어오는 동안 수신을 취소하거나 제한, 사라질 때까지 음성을 가로챌 위험이 있었다. 이 공격을 성립시키려면 공격자는 상대방과 페이스북에 친구가 되는 등 상대방과 통화할 수 있는 권한을 갖고 있어야 했다. 또 버스 엔지니어링 도구를 이용해 공격자가 자신의 메신저 앱을 조작하고 사용자 정의 메시지를 보낼 필요도 있었다.

보고된 취약점을 서버 측에서 수정한 뒤 페이스북 1:1 통화에 같은 프로토콜을 사용하는 응용 프로그램도 추가로 취약점을 해결한다. 이 보고서도 생각할 수 있는 최대한 영향을 고려한 프로그램 사상 3번째로 비싼 60만 달러를 지급했다.

2011년 설립 초기에는 페이스북 버그 포상금 프로그램은 웹페이지만 대상으로 하고 있었지만 2020년 현재는 모바일앱과 인스타그램, 왓츠앱, 오큘러스 등을 대상으로 하고 있다. 공격 위협은 해마다 증가하는 가운데 페이스북은 3가지에 주력하고 있다고 한다.

첫째는 새로운 위험에 대한 대책. 앱 개발자에 의한 페이스북 데이터 악용이나 페이스북 데이터에 액세스할 수 있는 타사 응용 프로그램이나 외부 웹사이트 보안 버그 등 새로운 위험 영역 보안 조사를 지시하고 인센티브를 주는 방법을 개발해 나가고 있다.

둘째는 더 나은 조사 도구 제공. 페이스북 버그를 발견하고 연구자가 더 쉽게 많은 보상을 받을 수 있도록 커뮤니티에 도구를 제공해 나갈 예정이다. 최근 출시된 도구(Facebook Bug Description Language)도 이런 노력 일환으로 버그를 재현하기 위한 테스트 환경을 빠르게 구축할 수 있다고 설명하고 있다. 또 연구자 기여도에 따라 평가하고 높은 순위 연구자에게는 보너스나 배지, 출시 전 제품과 기능에 대한 조기 액세스 버그 포상금 이벤트에 한정 초대하는 등 혜택을 부여하는 자체 리워드 프로그램 해커 플러스(Hacker Plus)도 2020년 10월에 설립하고 현재까지 4만 달러 보너스를 지불한 상태다.

셋째는 연구자 네트워크 구축. 해킹 이벤트나 페이스북 버그 보고 프로그램에 참여하는 연구자 회의(BountyCon)를 통해 연구자 네트워크를 구축해나갈 예정이다. 관련 내용은 이곳에서 확인할 수 있다.