구글을 해킹한 해커들은 올해 구글에서 350만달러(약 40억9500만원)를 받았다. 구글은 왜 자사 시스템을 해킹한 해커에게 돈을 준 것일까.
11일(현지 시각) 미국 경제지 포브스에 따르면, 구글과 페이스북은 자사의 보안 허점을 발견한 해커에게 제공하는 금전적 보상을 강화하고 있다. 일명 ‘버그바운티’(bug bounty)로 불리는 이 제도는 앱이나 소프트웨어의 취약점을 빠르게 발견하고, 이를 해결해 궁극적으로 보안 수준을 높이는 것이 목표이다.
구글은 자사 버그바운티인 ‘취약점 보상 프로그램’(VRP)을 도입한 이후, 10년간 84국 2022명의 해커에게 총 2900만달러(약 340억5700만원)를 지불했다. 그간 신고된 보안 결함만 1만1000건에 이른다. 신고에 따른 보상액도 2017년 207만달러(약 24억3200만원)에서 지난해 651만달러(약 76억4900만원)로 3배가량 늘었다. 구글은 2019년 안드로이드 결함을 발견한 해커에게 단일 보상금으로는 최고액인 16만1000달러(약 1억8900만원)를 주기도 했다.
최근 페이스북도 기존 보상금에 웃돈을 얹어주며 자사 해킹을 장려하고 있다. 해커가 보안상의 문제를 페이스북에 알린 뒤 30일 이상 보상금 지급이 미뤄지면, 지불될 금액의 5~10% 추가금을 주겠다는 것이다. 이는 회사가 문제를 검토하는 기간 해커가 다른 생각을 하지 못하도록 붙잡아 두는 효과가 있다. 페이스북은 지난해 1000건이 넘는 보안 오류를 보고받아 보상에만 198만달러(약 23억2000만원) 이상을 썼다.
해커들 간의 협업도 지원한다. 하나의 보안 오류를 발견하기 위해 다수의 해커가 작업했다면, 보상금을 나눠서 지급하기도 한다. 페이스북은 “한 명의 해커가 알아차리기 어려운 일련의 복잡한 버그를 발견하도록 하기 위함”이라고 했다.
애플, 마이크로소프트(MS) 같은 다양한 글로벌 IT 기업과 전기차 업체 테슬라도 자사 서비스의 취약점을 알려준 해커들에게 보상금을 지급한다. 포브스는 “버그바운티는 돈을 벌면서 해킹 경력을 쌓는 합법적인 방법”이라고 했다.