한 해 돌아보기: 2023년 버그 바운티 프로그램이 Zoom 보안에 미치는 영향

보안은 Zoom이 언제나 최우선으로 고려하는 영역이자, 다양한 프로그램과 이니셔티브를 통해 지속적인 투자를 이어가고 있는 부문입니다. 온라인 보안을 강화하기 위한 이니셔티브 중 하나인 Zoom 버그 바운티 프로그램은 Zoom 커뮤니티 전반에 걸친 협업, 혁신, 지속적 개선을 위한 Zoom의 노력을 여실히 보여줍니다. Zoom은 2019년부터 연구원 커뮤니티와 적극적으로 협력해 온 결과, 지금까지 1,000만 달러가 넘는 버그 바운티 포상금을 지급했습니다. 이는 Zoom의 방어 체계를 강화하고 Zoom 사용자의 개인정보 보호 및 보안을 지키는 데 큰 역할을 했습니다. 

Zoom의 버그 바운티 프로그램은 보안 취약성을 찾아서 책임감 있게 공개하도록 장려하는 프로그램입니다. 지난 2년 동안 Zoom은 모든 보안 관련 보고에 신속하게 반응하고 대응할 수 있는 간소화된 프로세스를 시행해 왔습니다. 800명이 넘는 연구원 중 한 명이 버그를 발견하여 제출하면 보안 팀은 평균적으로 단 몇 시간 내에 보고서를 분석하고 재현한 다음, 버그 수정을 위해 내부 개발 팀에 제출합니다. 

지난 3년이 넘는 시간 동안 Zoom은 프로그램 운영 관련 보고당 비용은 절감한 동시에 플랫폼에 실질적인 영향을 미치는 취약성은 더 많이 발견할 수 있었습니다. 단 3년 만에 유효한 보고당 비용을 40% 줄였으며 제출된 보고 건수는 두 배 이상 증가했습니다.

VISS

2023년 1월, 버그 바운티 팀은 취약성 악용이 시스템에 실질적으로 미치는 영향을 측정하기 위한 혁신적인 새 메커니즘을 구축, 개선, 출시하기 위한 작업에 돌입했습니다. 다 함께 노력한 결과, 3월에 VISS(Vulnerability Impact Scoring System)를 구현하게 되었고, Github에 오픈 소스로 공개하는 쾌거를 이루었습니다. 

Zoom이 1년 넘게 VISS를 활용해 오고 있는 가운데, 취약성이 미치는 영향을 보다 객관적으로 측정하고자 하는 다른 버그 바운티 팀의 관심도 날로 높아지고 있습니다. 현재까지 VISS에 대한 협업과 피드백은 긍정적이었습니다. 보안 연구원들도 피드백을 제공하고 있으며, 해당 피드백을 바탕으로 VISS에 관한 협업과 집중도를 높이고 버그 바운티 관리에 대한 Zoom의 투명한 접근 방식을 개선하고 있습니다.

Zoom의 CISO인 Michael Adams는 “VISS를 사용하면 보안 연구원의 노력을 맞춤화하여 가장 중요하고 가장 영향력이 큰 문제에 초점을 맞출 수 있습니다. 그리고 그에 따라 포상금을 책정할 수 있습니다.”라고 설명합니다. 또한 “이에 따라 포상금뿐만 아니라 인센티브도 함께 제공하려고 합니다. 하지만 점수 시스템의 기준을 명확하게 제시하지 않으면 직원들이 공감하기가 어렵죠. 이제 그러한 기준을 어느 정도 명확하게 보여줄 수 있게 되었습니다."라고 덧붙였습니다.

자세한 내용을 살펴보고 Zoom의 VISS 계산기의 구현 방식을 알아보려면 VISS의 전체 사양을 확인하세요.

HackerOne

또한 Zoom은 2023년 6월 22일 런던 CodeNode에서 개최된 올해의 HackerOne H1-4420 이벤트에 후원자로 참여하는 영예를 안았습니다. 이 이벤트에서는 41개국에서 온 가장 뛰어난 실력을 갖춘 90명 이상의 윤리적 해커가 협업하여 Zoom 플랫폼의 보안을 강화하기 위해 최선을 다하는 모습을 엿볼 수 있었습니다. 이 커뮤니티와 적극적으로 협업하면 위험을 완화할 수 있을 뿐만 아니라 혁신을 촉진하고 서비스를 지속적으로 개선할 수 있습니다. 여기에서 이 이벤트를 간략하게 살펴보세요.

버그 바운티 포상금

2023년은 200명이 넘는 보안 연구원들이 제출한 1,000건 이상의 유효한 보고서를 대상으로 240만 달러가 넘는 버그 바운티 포상금을 지급했던 뜻깊은 한 해였습니다. 이로써 현재까지 누적된 버그 바운티 포상금이 총 1,000만 달러가 넘어섰습니다.

인공 지능과 머신 러닝이 Zoom 제품에 더욱 긴밀하게 통합됨에 따라 Zoom 버그 바운티 팀은 취약성을 찾기 위해 최고의 연구원들과 분주하게 움직이고 있습니다. 생성형 AI의 등장은 잘못된 정보, 데이터 포이즈닝, 데이터 유출 등 보안 및 개인정보 보호와 관련한 새로운 위험을 초래하고 있습니다. HackerOne 플랫폼은 Zoom의 VIP 프로그램 내의 캠페인 기능을 사용하여 Zoom이 연구원과 의미 있는 양방향 협업을 수행하는 데 필요한 모든 백엔드 처리 기능을 제공합니다. 

AI에 대한 이러한 집중적인 노력과 더불어, 2024년 로드맵의 일환으로 올해에 여러 가지 강력한 기능이 출시될 예정입니다. 이를 염두에 두고 2024년 4월 1일부터 4월 한 달간 진행되는 “Spring BREAKAGE” 프로모션에서 새로운 보고서가 많이 쏟아져 나오기를 기대합니다. 테스트 범위에 몇 가지 새로운 기능이 추가되었으며, 이번 프로모션에서는 포상금도 인상됩니다.

더욱 안전한 Zoom을 만드는 데 관심이 있다면 HackerOne 프로필 이름을 bugbounty@zoom.us로 보내거나 Zoom 채용 정보 페이지를 방문하여 신뢰 및 보안 팀 내에 채용 기회가 있는지 살펴보세요. 즐거운 해킹 활동이 되시기를 바랍니다!

Zoom의 개인정보 보호 및 보안에 대해 더 자세히 알아보려면 신뢰 센터를 방문하세요. 버그를 발견하셨나요? 여기에 취약성 문제를 제출해 주세요.