“해킹 성공하면 테슬라車 공짜”…세계는 ‘현상금 보안’ 전쟁 중 [해외실험실: 빅테크 보안 대해부 ①]

‘수동적 방어’서 ‘능동적·사냥형’으로 진화
구글, 작년에만 1200만 달러 보상금 지급
메타, 포상금 지급 총액 2500만 달러 돌파
오픈AI, 최대 보상금 10만 달러로 상향

국내에서 쿠팡을 비롯한 국내 기업들의 보안 사고가 잇따르는 가운데 세계적인 빅테크들의 전략을 살펴 한국 기업과 정부에 필요한 보안 정책을 찾아보고자 한다.

▲사진출처 제미나이 생성

20대 해커 리처드 주와 아마트 카마는 테슬라의 전기자동차 ‘모델3’의 보안 취약점을 찾아내 내부 웹브라우저를 해킹하는 데 성공했다. 두 사람은 웹브라우저의 ‘즉시실행(JIT)’ 오류를 포착해 차량 시스템에 침투했고 대시보드 디스플레이 화면에 임의 메시지를 띄우는 시연까지 해냈다. 그러나 이들에게 돌아온 것은 처벌이 아니라 포상금이었다. 해킹 성공만으로 모델3 한 대와 총 37만5000달러(약 5억5050만 원)에 달하는 상금을 받았다.

11일 미국 경제매체 CNBC방송에 따르면 이 장면은 2019년 세계 최대 해킹대회 ‘Pwn2Own’에서 벌어졌다. 글로벌 기술 기업들이 자사의 최신 제품을 무대 위에 올려두고 이를 합법적으로 공격해 취약점을 찾아낸 해커에게 거액의 상금을 제공하는 행사다. 기업이 먼저 해킹을 허용하고 취약점 신고에 금전적 보상을 지급하는 ‘버그바운티’ 프로그램의 확장판으로, 빅테크의 보안 전략이 기존의 ‘수동적 방어’에서 ‘능동적·사냥형 모델’로 전환되고 있음을 보여준다.

테슬라는 고객에게 소프트웨어 업데이트를 제공하고 있는 데 2014년부터 결함을 발견하고 보고하는 연구원들에게 보상하는 버그바운티 프로그램을 시작했다. 이는 기술업계에서는 흔하지만 자동차 기업으로서는 드문 사례다.

기술기업 중에서는 구글이 2010년 자사 버그바운티인 ‘취약점 보상 프로그램(VRP)’을 도입한 이후 꾸준히 이를 확장해왔다. 지난해에는 전 세계 600명 이상의 연구자들에게 1200만 달러에 가까운 보상금을 지급했다. 또 올해에는 새로운 인공지능(AI) ‘VRP’를 출시, 발견된 버그에 대해 최대 3만 달러의 기본 보상을 제공한다.

페이스북 모기업 메타도 2011년 자체 버그바운티 프로그램을 출범, 지난해에만 45개국 이상의 연구자 200여 명에게 230만 달러 이상의 보상금을 지급했다. 올해에는 더 가속화해 지난달 18일 기준 800건의 유효 신고에 대해 400만 달러가 넘는 버그 현상금이 지급됐다. 프로그램 도입 이후 지급된 포상금 총액은 2500만 달러를 넘어섰다.

챗GPT 개발사 오픈AI도 올해 초 버그바운티 보상액을 대폭 끌어올렸다. 오픈AI는 “탁월하고 차별화된 중대한 발견에 대한 최대 보상금을 기존 2만 달러에서 10만 달러로 인상한다”며 “이번 증액은 사용자를 보호하고 시스템에 대한 신뢰를 유지하는 데 기여하는 의미 있고 영향력이 큰 보안 연구에 대한 보상을 강화하겠다는 당사의 의지를 반영한다”고 강조했다.

한때 일부 기업의 전유물로 여겨졌던 버그바운티는 이제 글로벌 표준 보안 투자로 자리 잡고 있다. 넓고 복잡해지는 현대 서비스에서 내부 인력만으로는 모든 취약점을 걸러내기 어려워졌기 때문이다. 기업들이 거액의 보상금을 내거는 것도 단순한 홍보가 아니라 위험도가 큰 결함을 조기에 찾아 제거하려는 적극적이고 능동적인 리스크 관리 전략으로 해석된다. 삼성, 네이버 등 국내 기업들도 자사 보안을 위해 버그바운티 프로그램을 활용하고 있다.