구글은 지난해 취약점 보상 프로그램(Vulnerability Reward Program, VRP)의 보상 한도를 최대 15만 1,515달러(약 2억 원)로 상향했으며, 모바일 VRP는 주요 애플리케이션에서 치명적인 취약점을 발견할 경우 최대 30만 달러(약 4억 원)를 지급하도록 변경했다. 클라우드 VRP의 최대 보상금도 15만 1,515달러로 조정됐으며, 크롬의 보안 결함 발견 시 최대 25만 달러(약 3억 원)가 지급될 수 있다.
또한, 크롬 보안 기술인 ‘MiraclePtr’ 우회 방법을 발견한 연구자에게 지급하는 포상금을 두 배 늘려 25만 128달러(약 3억 6,000만 원)로 책정했으며, 커널 기반 가상머신 하이퍼바이저(KVM)에서 발견된 취약점에 대해 최대 25만 달러를 지급하는 ‘kvmCTF’ 프로그램도 새롭게 도입했다. 2024년 지급된 최고 포상금은 11만 115달러(약 1억 5,000만 원)로, MiraclePtr 우회 방법을 발견한 연구자가 해당 포상금을 받았다.
구글은 또 다른 보상 프로그램인 ‘어뷰즈 VRP(Abuse VRP)’를 통해 2024년 한 해 동안 전년 대비 40% 증가한 총 29만 달러를 지급했다. 어뷰즈 VRP는 구글 제품을 악용하거나 오용할 가능성이 있는 250개 이상의 유효한 보안 취약점 신고를 기반으로 포상금이 지급됐다.
안드로이드 및 구글 모바일 애플리케이션에서 발견된 치명적인 보안 취약점에 대한 포상금은 총 330만 달러(약 47억 원)에 달했으며, 중대한 취약점 및 높은 위험도를 가진 취약점 신고 건수는 전년 대비 2% 증가했다.
한편, 지난해 10월 출범한 클라우드 VRP는 구글 클라우드 서비스에서 발견된 보안 취약점 신고를 기반으로 총 50만 달러(약 6억 7,000만 원)를 지급했다.
생성형AI 관련 보안 취약점 신고 프로그램도 운영됐다. 150건 이상의 신고를 바탕으로 총 5만 5,000달러(약 7,900만 원)의 보상이 지급됐으며, 라이브 LLM 해킹 이벤트에서는 추가로 8만 7,000달러(약 1억 2,000만 원)가 지급됐다.
구글은 2010년 버그 바운티 프로그램을 시작한 이후 현재까지 총 6,500만 달러(약 873억 원)를 업계 연구원들에게 지급했다고 밝혔다. 버그 바운티 프로그램이란 특정 기업이나 기관이 보안 취약점을 신고한 외부 보안 연구자 또는 해커에게 금전적 보상을 제공하는 제도다.
[email protected]
Read More from This Article: 구글, 지난해 보안 취약점 신고자에 포상금 1180만 달러 지급
Source: News