[디지털데일리 김문기 기자] 애플이 자사 보안 취약점 신고 프로그램을 전면 개편하며, 외부 보안 연구자와의 협력을 강화한다.

애플(대표 팀 쿡)은 10일(현지시간) 보안 현상금(Bug Bounty) 제도의 주요 진화를 발표한다며 최고 보상금을 200만 달러(약 27억 원)로 상향하고, 새 평가 체계인 ‘타겟 플래그(Target Flag)’를 도입한다고 밝혔다.

이번 개편은 애플이 오랫동안 폐쇄적이라는 평가를 받아온 보안 생태계의 문을 다시 여는 시도로 해석된다. 특히 ‘스파이웨어급 공격’으로 분류되는 복합 취약점 체인에 대해서는 추가 보너스를 포함해 최대 500만 달러(약 68억 원)까지 보상한다는 조건이 붙었다.

애플은 이 같은 금액은 업계 최대 수준이며, 고난도 보안 연구의 동기를 높이기 위한 것이라고 설명했다. 새로운 제도 아래에서는 취약점이 패치되기 전이라도, 위험성이 검증된 경우 즉시 보상금을 지급하는 ‘가속 보상(Accelerated Award)’이 적용된다.

보상 범위도 넓어졌다. 아이클라우드 무단 접근, 게이트키퍼 완전 우회, 무선 근접 공격(wireless proximity exploits), 원클릭(WebKit) 샌드박스 탈출 등 새로운 공격 벡터가 추가됐다. 보상액은 각각 최대 10만 달러에서 100만 달러까지 상향됐다.

애플은 2016년 제한된 초청형 형태로 버그 바운티 제도를 시작했으나, 2020년 일반 공개 프로그램으로 확대했다. 그러나 이후에도 보상 규모가 작고 지급이 지연된다는 비판이 이어졌다. 이번 조치는 그런 불만을 해소하려는 성격이 짙다. 애플 보안엔지니어링 부문 부사장 이반 크르스티치는 외신 와이어드 인터뷰에서 “가장 복잡한 문제를 다룰 능력이 있는 연구자들이 정당한 보상을 받아야 한다”고 밝혔다.

애플은 지금까지 전 세계 800명 이상의 보안 연구자에게 총 3,500만 달러(약 480억 원)를 지급했다고 설명했다. 업계에서는 이번 개편이 단순한 보상 확대를 넘어, 스파이웨어와 국가급 공격 위협에 대응하기 위한 ‘선제적 방어 전략’으로 풀이된다고 분석한다.

다만 높은 보상금이 실제로 연구자들의 참여를 촉진할지는 미지수다. 보상금보다 중요한 것은 투명한 검증 절차와 빠른 보안 업데이트라는 점에서, 애플의 ‘폐쇄적 DNA’가 얼마나 변할 수 있을지가 이번 제도의 관전 포인트로 꼽힌다.

- Copyright ⓒ 디지털데일리. 무단전재 및 재배포 금지 -