줌(Zoom Video Communications)이 2019년 버그바운티 프로그램을 시작한 이래 버그 리포트에 대한 보상으로 총 700만 달러(한화 약 91억 7천만원)가 넘는 금액을 상금(바운티)으로 지불했다고 밝혔다.
특히 줌은 2023 회계연도(2022년 2월 ~ 2023년 1월) 버그 리포트에 대한 보상으로 390만 달 (한화 약 51억 1천만원) 이상을 투자했다. 또한 줌은 올해 처음으로 프로그램에 자체 점수 시스템인 VISS(Vulnerability Impact Scoring System)을 도입한다.
줌은 자체적으로도 인프라를 매일 테스트를 진행하고 있지만 특정 사용 사례와 환경에서만 감지되는 엣지-케이스 취약점을 식별하기 위해 버그바운티 프로그램을 통해 윤리적 해커 커뮤니티와 협력하고 있다. 2022년에는 해커원(HackerOne) 플랫폼에 보안 연구가들을 추가로 초청하고 H1-702와 같은 업계 주요 행사를 통해 보안 커뮤니티와 협력을 도모했다. 줌은 외부 보안 전문가들과 협력함으로써 주의가 필요한 항목 및 문제점의 근원을 파악하고, 부서간 조율 과정을 개선하였으며, 문제가 발생하기 전에 잠재적인 위협을 사전에 찾아내는 등 보안 취약점 파악에서 더 나아가 줌 플랫폼 전반에 걸친 개선을 이끌어냈다. 그 결과 지난 2년새 접수된 버그 리포트에 대한 버그 수정 시간 역시 대폭 감소한 것으로 확인됐다.
올해 줌은 회계연도 2024년도를 맞아 자체적인 점수 시스템 VISS을 도입했다. VISS 점수 시스템은 줌 인프라, 기술, 고객 정보 보호 등에 영향을 줄 수 있는 각 취약점이 미치는 영향을 13가지 측면에서 다각도로 분석한다. 줌은 VISS 점수 시스템을 도입함으로써 기존의 이론적인 악용 가능성을 파악하는 데에서 더 나아가 취약점의 영향력을 면밀하게 측정한다는 계획이다. 업계에서 통용되는 기준인 기존의 CVSS 점수 역시 유지된다. 이 밖에도 줌은 올해 버그바운티 프로그램에 참여하고 있는 연구가들을 대상으로 평가를 진행하여 팀을 재구성하고 프로그램을 수정한 바 있다.
★정보보안 대표 미디어 데일리시큐!