보안 취약점 제보에 따른 보상

며칠 전 기사에 파이어폭스의 보안 취약점을 발견한 12세 소년에게 모질라 재단이 3천달러의 상금을 지급했다고 보도됐었습니다. 일정 기간동안 이벤트 형식으로 상금을 지급하는 것이었는지 아니면 모질라 재단의 운영 원칙에 원래 항상 취약점 보고에 따른 상금이 명시되어 있는 것인지 기사만으로는 명확치 않고, 모질라 웹 페이지에 제가 익숙치 않아 정보를 못 찾았습니다. 현상금을 500달러에서 3,000달러로 올렸다는 것으로 봐서, 상시적으로 이런 상금 보상 절차가 있는 것으로 짐작합니다.

마이크로소프트의 경우는 어떨까요? 마이크로소프트는 보안 취약점, 또는 보안과 관계없는 버그 발견에 대해 상금을 드리지 않습니다. 상금으로 보상하는 것에는 순기능과 역기능이 있을 텐데 마이크로소프트는 부작용이 더 많을 것으로 보고 있습니다. 취약점을 사고 파는 형태가 나타날 것에 대한 우려도 있습니다.

제품의 보안 취약점을 정리해 공개하는 문서, 즉 보안 공지(security bulletin) 맨 끝 부분에 감사 인사 형식으로 제보자를 소개해 드리는 것이 현재로서는 전부입니다.

마이크로소프트 제품의 보안 취약점을 발견하신 분께서는 secure@microsoft.com 으로 내용을 보내시면 됩니다. 영어로 메일이 오가기 때문에 불편을 느끼는 분께선, 저 김홍석에게 연락을 주시면 도와드리겠습니다.