[디지털데일리 박세아 기자] 줌이 2019년 버그바운티 프로그램을 시작한 이래 버그 리포트에 대한 보상으로 미화 240만 달러(한화 약 29억2000만원)가 넘는 상금과 선물을 지불했다고 7일 밝혔다.

특히 줌은 2021년 401개 리포트에 대한 보상으로 미화 180만 달러(한화 약 21억9000만원) 이상을 투자했다. 미화 50만 달러 이하였던 2019년과 2020년과 비교하면 금액을 3배 이상 늘린 것이다.

줌은 자체적으로도 솔루션과 인프라를 매일 테스트하지만 테스트를 증강시키기 위해 윤리적 해커 커뮤니티와 협력이 중요함을 인지하고 있다. 특정한 사용사례와 환경에서만 감지되는 엣지-케이스 취약점을 식별할 수 있기 때문이다. 줌은 2019년부터 해커원 플랫폼에서 초청으로만 진행되는 비공개 버그바운티 프로그램을 운영해왔고, 이렇게 모집한 보안 연구가(리서처)만 800명이 넘는다.

줌 보안 엔지니어 리드 로이 데이비스는 "가상 커뮤니케이션 안전은 줌 최우선순위다. 수백 명 줌 보안 엔지니어가 메시지 및 회의 기밀성과 무결성, 줌 글로벌 인프라 가용성과 안정성을 위해 노력하고 있다"며 "줌은 한 걸음 앞서 줌 사용자와 인프라를 위협으로부터 보호하기 위해 비공개 버그바운티 프로그램을 운영하며 숙련된 전 세계 보안 연구가에 투자하고 있다"고 설명했다.

줌은 "최우수 보안 전문가를 프로그램에 초대하기 위해 허용하는 테스트 유형, 세이프 하버 정책 세부사항, 취약점 보고서별 바운티 보상 예상 범위 등을 명확하고 간결한 프로그램 정책으로 설명한다, 버그바운티 프로그램 영역을 꾸준히 넓히면서 영역 외 항목과 통제영역을 분명히 정의한다"고 말했다.

또한 줌은 프로그램 응답, 조치, 보상 시간을 최소화함으로써 윤리적 해커들의 노력에 즉각적으로 응답하고 버그바운티 프로그램을 관리하는 줌 담당자와 해커가 서로 전문가로서 관계를 형성하도록 지원한다. 이 밖에 전문가 노력, 취약점이 실제로 악용됐다면 발생했을 영향에 상응하는 경쟁력 있는 보상을 제공한다.

줌은 버그바운티 프로그램을 발전시키기 위해 지난 해 단일 버그 리포트에 대한 보상 상한선을 미화 5만 불(한화 약 6000만원), 하한선을 미화 250불(한화 약 30만원)로 조정했다. 또 모두에게 열린 공개 VDP(Vulnerability Disclosure Program)를 시작하기도 했다. 10월에는 VIP 버그 바운티 프로그램을 출시해 보안 테스트 영역을 줌 솔루션 라이선스 버전으로 확장했다.