피아트 크라이슬러가 자사 차량에 대한 버그바운티 프로그램을 공지했다. 그러나 상금이 적어 많은 참여자가 있을지는 의문이다.
 
작년 자동차 해킹 전문가들인 Charlie Miller와 Chris Valasek가 차량의 IP 주소와 uConnect 소프트웨어만을 사용해 수마일 떨어진 곳에서 원격으로 제어하는데 성공했었다. 타깃은 Ram, Durango, Jeep, Fiat Chrysler의 엔진, 브레이크, 그리고 기타 시스템이었다.
 
이 때문에 회사는 140만대의 차량을 리콜했고 1억 5백만달러(한화 약 1,200억원)의 벌금을 냈으며, 하이재킹 등 해킹의 위협을 당할 가능성이 있는 고객들에게 집단 소송을 당했다.
 
그러나 크라이슬러는 버그 바운티를 통해 자사 소프트웨어 시스템이 가진 심각한 보안 취약점에 겨우 150달러에서 최대 1,500달러(한화 약 170만원)만을 상금으로 제시하고 있다.
 
크라이슬러의 2015년 수익은 4억 1천만달러(한화 약 4천660억원)로 1분에 780달러의 수익을 낸 것으로 계산할 수 있는데, 버그바운티 최대 상금은 단 2분에 해당하는 수익에 불과한 것이다.  
 
페이스북은 소프트웨어 취약점에 1만5천000달러를, 마이크로소프트는 심각한 취약점에 10만달러를 지불하고 있다. 또한 구글은 크롬 해킹에 성공한 해커에게 2만달러를 지불하여 해커들이 보안 취약점 찾기에 많은 시도를 하도록 장려하고 있다.
 
크라이슬러의 경쟁사인 테슬라는 심각한 취약점에 대해 1만달러를 제공하고 있다. 두 회사 모두 작년에 자동 소프트웨어에서 심각한 버그가 발견되었지만, 대응 방법은 완전히 다른 것처럼 보인다.
 
Miller는 2015년 블랙햇(BlackHat) 발표에서 크라이슬러는 자사 소프트웨어에 취약점이 있다는 사실을 몇 달 전에 이미 알고 있었으나, 아무런 조치도 취하지 않았다고 말했다. 반면 테슬라는 해커들이 자사 제품에서 6개 취약점을 발견하자 버그바운티 상금을 올렸고, 연구원들에게 1만달러와 메달을 수여했다. 또한 CTO인 JB Straubel은 데프콘(DEFCON) 2015에서 공개적인 사과문을 발표했으며, 보안 연구원을 모집하기 위한 리크루팅을 진행했다.
 
크라이슬러는 현재 제시하고 있는 버그바운티 상금으로는 버그를 보고할 해커를 찾기 어려울 것으로 보인다.
 
★정보보안 대표 미디어 데일리시큐!★
 
<데일리시큐 HSK 외신기자>