2016년 8월 5일 금요일

→ 애플도 버그바운티 한다! 늦은 만큼 후하게!

애플 운영체제, 특히 iOS는 해킹하기가 힘든 걸로 유명합니다. 일반 애플리케이션이 시스템이나 개인정보에 접근하는 것을 제한하는 ‘샌드박스’라는 보안체계를 갖추고 있기 때문입니다. 덕분에 각종 보안 이슈가 들끓는 가운데서도 iOS는 비교적 평온함을 유지할 수 있었는데요. 최근 애플 운영체제를 목표로 하는 해킹 공격이 잦아지면서 그저 남의 일로 치부하기가 어려워지고 있는 실정입니다.

이 같은 상황을 애플이 더는 방관할 수 없다고 판단했는지 자사 제품에서 보안 취약점을 퇴치하기 위해 ‘현상금’이라는 강수를 뒀습니다.

애플이 자사 제품에서 보안 취약점을 찾아내는 화이트해커와 보안 전문가에게 최대 2억 상당의 보상금을 지급할 계획이라는 소식이 오늘 테크크런치 등 미국 주요 언론에 의해 일제히 보도됐습니다.

이를 이해하기 쉽게 설명한 국내 언론지 기사입니다.

"iOS 관련 기술에서 취약점들을 집중 물색 및 탐구해왔던 전문가들에게 희소식이 생겼다. 드디어 애플도 버그바운티 프로그램을 시작한 것이다. 다만 공개 프로그램은 아니고, 애플이 초대한 일부에게만 공개될 예정이다. 물론 애플은 버그바운티 프로그램을 확장해 완전 공개 체제로 전환할 계획이라고 설명했다. (중략)...

신설된 버그바운티는 크게 다섯 가지 기술 항목으로 나눠져 있다. 네 개는 기기 취약점이고 하나는 애플의 아이클라우드와 관련된 것이다. 보상 금액이 가장 큰 건 시큐어 부트 펌웨어(Secure Boot Firmware)와 관련된 것으로, 인증되지 않은 애플리케이션이 iOS 기기에서 실행되는 것을 차단하는 기술이라고 볼 수 있다. 이 부분에서 취약점을 발견하면 최대 2십만 달러까지 받을 수 있다."

- 보안뉴스

프로그램이 완전히 개방되면 국내에서도 한 몫 챙기는 능력자가 등장하지 말라는 법도 없어 보입니다. 더불어 애플 제품과 운영체제 보안에 대한 보다 강력한 검증과 감시가 이뤄진다는 안전하게 쓸 수 있게 된다는 점에서 보상금을 받게 될 전문가뿐 아니라 일반 사용자에게도 그 혜택이 고스란히 돌아올 것으로 기대됩니다.

기사의 마지막 줄도 인상적입니다.

"애플의 버그바운티 프로그램 신설은 애플이 iOS 10을 준비해오면서 세운 여러 가지 보안 계획의 ‘작은’ 일부다. 다른 보안 계획에는 어떤 것이 있을까? “강력한 메모리 및 데이터 보호, 아이클라우드에 저장된 고객 정보 보호를 중점으로 업그레이드할 예정입니다. 특히 고객 정보에 대해서는 저희 애플조차도 접근할 수 없도록 보호할 예정입니다.”


참조
보안뉴스 - 애플도 버그바운티 한다! 늦은 만큼 후하게!
TechCrunch - Apple announces long-awaited bug bounty program

관련 글
• 애플, iOS 9.3.4 보안 관련 '긴급' 패치 배포
• 시스코 "애플 운영체제 옛 버전에서 심각한 취약점 발견"… 최신 버전으로 업데이트 필수
OS X과 iOS를 대상으로 하는 치명적인 보안 취약점 발견… 애플 보안기술도 무력화

저작자 표시 비영리 변경 금지


from Back to the Mac http://ift.tt/2aTdVW6
via IFTTT