Zoom의 버그 바운티 프로그램: 2021년 리뷰

Zoom은 매일 솔루션과 인프라를 테스트하는 한편 윤리적인 해커 커뮤니티를 활용하여 특정 사용 사례 및 상황에서만 감지할 수 있는 엣지 케이스 취약점을 식별함으로써 이 테스트를 강화하는 것이 중요하다는 것을 알고 있습니다. 

이러한 이유로 Zoom은 보안 전문가들을 모집하고 소통하는 데 있어 업계 최고의 공급업체인 HackerOne의 플랫폼에서 프라이빗 버그 바운티 프로그램을 통해 숙련된 글로벌 보안 연구자 팀에 투자했습니다. 프라이빗 버그 바운티 프로그램에는 초대받은 사람만 참여할 수 있으며, 따라서 기업은 이전 작업을 기반으로 보안 연구자를 직접 선택할 수 있습니다. HackerOne은 신호 대 잡음 비율, 그들이 기여한 프로그램에 대한 영향 및 평판을 기준으로 각 연구자의 통계를 계산합니다. 이 모든 요소는 해당 연구자의 연구 결과가 얼마나 적절하고 실행 가능할지 측정하는 데 도움이 됩니다.  

Zoom은 HackerOne 플랫폼에서 800명 이상의 보안 연구자를 고용했습니다. 이들의 공동 작업을 통해 수많은 버그 보고서가 제출되었으며 프로그램이 도입된 이후로 바운티 지급, 홍보 상품 및 선물로 240만 달러가 넘는 어워드가 수여되었습니다. Zoom은 2021년에만 401개 보고서에 대해 180만 달러 이상을 수여했습니다. Zoom에 책임감 있게 버그를 공개해 주신 모든 분들, 특히 "Top 10" 목록에 이름을 올린 다음 연구자들에게 감사드립니다.

작년에 당사의 취약점 관리 및 버그 바운티(VMBB) 팀은 경쟁적인 채용 환경을 탐색하고 더 많은 "록스타" 보안 연구자에게 우수한 경험을 제공하여 이들을 프로그램에 참여시키는 데 주력했습니다. 

Zoom은 최고의 인재를 유치하기 위해 프로그램의 방향을 잡고 개선하는 데 있어 다음 5가지 원칙을 수립했습니다.

• 허용되는 테스트 유형, 프로그램의 "안전항" 정책에 대한 세부 정보, 특정 유형의 취약점 보고서에 대한 잠재적인 바운티 범위 메뉴를 설명하는 명확하고 간결한 프로그램 정책을 수립합니다.
  
• 버그 바운티 프로그램의 "범위"라고도 하는 공격 표면의 폭을 지속적으로 늘리고, 구체적으로 어떤 것이 범위를 벗어나거나 제한되는지 명확하게 정의합니다.
  
• 프로그램 응답, 수정 및 지불 기간을 최소화합니다. 자신의 말에 대한 응답이나 일에 대한 보수를 받을 때 오래 기다리고 싶어하는 사람은 없으며, 윤리적 해커 또한 마찬가지입니다.
  
• 버그 바운티 프로그램을 관리하고, 보고서 제출을 분류하고 바운티 지급을 결정하는 Zoom 직원과 전문적인 관계를 맺고 직접적인 라포를 형성합니다.
  
• 연구자가 수행한 작업 및 취약점이 악용될 경우 발생할 수 있는 영향의 심각성을 정확하게 반영하는 경쟁적 바운티를 설정합니다.

기존 연구자들을 지원하고 신인들을 끌어모으기 위해 Zoom은 또한 2021년에 버그 바운티 프로그램에 대해 몇 가지 주요 업데이트를 시행했습니다. 여기에는 다음이 포함됩니다.

• 보고된 취약점의 심각성만을 기준으로 한 정적 바운티 범위를 벗어나 "바운티 메뉴"를 구현했습니다. 이 메뉴는 연구자에게 발견된 취약점의 유형 및 Zoom의 사용자와 인프라에 미칠 수 있는 영향을 기준으로 한 특정 바운티 금액을 제공합니다. 2021년 1월에 Zoom은 단일 보고서에 대해 바운티 테이블의 상한을 50,000달러로, 하한을 250달러로 인상했습니다.

• Zoom은 기존 보안 연구자뿐만 아니라 누구나 Zoom에 취약점 보고서를 제출할 수 있게 하는 공개 VDP(취약점 공개 프로그램)를 활성화했습니다. 이를 통해 보고서 접수가 간소화되었고 Zoom의 적절한 팀이 신속하게 참여할 수 있어 궁극적으로 버그 수정 속도가 보다 빨라지고 제품이 보다 안전해집니다.

• 2021년 10월에 Zoom은 VIP 버그 바운티 프로그램을 시작했습니다. 이 프로그램은 Zoom 솔루션의 라이선스 보유 버전에 중점을 두고 있으며 보안 테스트 범위를 확장했습니다.
  
• 2021년 내내 Zoom VMBB 팀은 초기 응답, 분류, 수정 및 바운티 지급 시간을 줄이는 데 집중했습니다. Zoom의 현재 메트릭스에 따르면 평균 초기 응답 시간은 4시간 미만으로, 수신 보고서의 전체 분류 시간은 일반적으로 48시간 미만으로 나타납니다. 바운티 지급은 팀에서 매주 논의하고 검토하여 보통 보고서 제출 후 14일 이내에 바운티가 지급됩니다.

• Zoom은 연구자들과 지속적인 관계를 구축할 수 있도록 전 세계 연구자들을 대상으로 만남과 환영의 Zoom 미팅을 여러 차례 주최했습니다. 대학생과 교수부터 해킹을 배우는 재능 있는 청소년들, 그리고 "이상한 것을 알아차린" 일상적인 Zoom 사용자까지, 윤리적 해커 커뮤니티에는 놀라운 다양성이 있습니다. 

Zoom은 2021년에 많은 것을 배우고 성장했으며 2022년에는 이러한 노력을 확대하고 더 많은 윤리적 해커와 협력하게 될 것을 기대합니다. Zoom을 더욱 안전하게 만드는 데 관심이 있다면 HackerOne 프로필 이름을 bugbounty@zoom.us로 이메일 보내거나 Zoom 채용 정보 페이지를 방문하여 신뢰 및 보안 팀 내의 구직 중인 자리를 검토하세요. 행복한 해킹하세요!

Zoom의 개인정보 처리방침과 보안에 대해 더 자세히 알아보시려면 Trust Center를 방문해 주세요.