크롬 보안 취약점 보고에 대해 25만 달러 상금 결정

Hacker News 의견

• 그는 가장 많이 쓰이는 브라우저에서 꽤나 신뢰도 높은 익스플로잇을 가졌고, 만약 블랙마켓에서 팔았다면 세금 없이 훨씬 더 벌 수 있었을 것이라는 생각임
  EDR(Endpoint Detection and Response) 같은 보안 툴이 널리 배포되어 있어 이제는 익스플로잇이 금방 잡힐 가능성이 높아졌지만, 몇몇 독재국 정보기관들은 이런 저널리스트 해킹을 할 가치가 있다고 여길 것이라는 의견임
  • 정말 블랙마켓에서 세금 없이 더 많이 받을 수 있었을까에 대한 질문과 함께, 실제로 신뢰할 만한 범죄자를 어디서 어떻게 찾는지 모르겠다는 이야기임
    익명성과 신뢰를 담보로 거래해야 하는데, 돈을 받더라도 블랙메일 등의 또 다른 위험이 생길 수 있고, 큰 돈을 감추는 것도 쉽지 않기 때문에 어떻게 안전하게 익스플로잇을 판매할 수 있을지 궁금함
    또 이렇게 돈을 벌면 블로그에 글도 못 올리고, 연구자나 리크루터들에게 내 이름을 알릴 수 없어 커리어나 평판 측면에서 손해라는 의견임
  • 블랙마켓에서 팔았다고 해서 돈이 자동으로 세금 없이 생기는 게 아니고 오히려 반대라는 이야기임
    언젠가 은행 계좌에 큰 돈이 들어오면 결국 감시를 받으니, 세금을 내는 것처럼 돈세탁도 해야 하고, 세탁업자에게 수수료도 내야 하기 때문에 결국 세금이 두 번 들어가는 셈이라는 의견임
    암호화폐도 마찬가지로 채굴했다는 증거를 요구받기 때문에 쉬운 해결책은 아니라는 설명임
  • 다들 돈만 보고 비교하는데, 좀 더 괜찮은 사람이 되어 보자는 의견임
    잠재적 이익 때문에 수많은 범죄자가 수백만 명에게 해를 끼칠 기회를 열어주는 건 생각해봐야 할 문제라는 이야기임
  • 꼭 블랙마켓에서 세금 안 내고 더 받을 수 있는 게 아니라는 의견임
    Chrome에서 샌드박스 탈출이나 그 우회는 공식적으로 $200,000까지 받을 수 있다는 발표 72번 슬라이드를 공유함
    Github에 이 프레젠테이션이 있는데, 현재 Github가 다운이라서 reddit 링크도 추가로 공유함
  • 이런 취약점은 리퀴드 마켓이 존재하는 몇 안 되는 케이스라는 설명임
    특히 이 버그들은 여러 번 재판매도 가능한데, 예를 들어 국가 단위의 모든 정보기관이나 법 집행기관에 파는 전문 회사들도 존재함
• Chrome에서 샌드박스 탈출 및 고퀄리티 리포트의 경우 $250,000 보상임
  Mozilla는 같은 취약점에 $20,000만 주는 것을 공식 규정, Mozilla 버그 바운티 링크로 비교함
  • 위키피디아 기준, 이 금액은 (Mozilla의 순이익 대비) 0.012%임
    댓글에서 이런 방식의 비교는 적절하지 않다는 얘기도 들었지만, 퍼센트로 구하면 Google의 50배 수준이니 충분하다는 의견임
    (원래 비율을 계산 착오했는데, 수정해서 0.012%임을 밝힘 — $20,000이 $157,000,000의 0.012%, 즉 Google의 퍼센트보다 50배 많음)
  • Chrome 유저는 firefox에 비해 15~20배나 많기 때문에, 블랙마켓에서도 버그 가격이 그만큼 높게 형성됨
    Safari는 부유하고 보안에 관심 없는 유저가 많아 더 비쌀 수도 있다는 설명임
  • 두 회사의 재무 상태를 봤을 때 Google이 Mozilla보다 돈을 훨씬 더 많이 벌고 있다는 의견임
  • HN에서 모질라 CEO가 됐다 치고 각자 하고 싶은 말을 하는 패러디를 해보고 싶다는 이야기임
    사무실에 진지하게 들어가서 각자 최애 정책(개인정보 보호, 웹 표준 강화, 속도 개선, 버그바운티 상금 인상 등)에 대해 열정적으로 주장하는 모습과 상반되게, 전체적으로는 빨간 선(매출 하락)이 배경에서 꾸준히 떨어지는 슬로우모션 만화 영상을 상상함
  • 그레이 마켓에서도 firefox 취약점은 수요, 공급 모두 이유로 보상이 훨씬 낮아진다는 의견임
• “이번 주에만 공개하려고 5일 먼저 이슈를 연다”는 안내 문구를 보며, Defcon과 연관 지어 인사하는 느낌의 댓글임
• 참고로 이 버그는 로직/타이밍 이슈이고, Rust로 작성했다고 해서 막을 수 있는 종류가 아니라는 점을 언급함
• 샌드박스 탈출 버그가 정확히 뭔지, 브라우저에서 ‘렌더러’와 ‘네이티브 API’, ‘샌드박스’를 잘 모르는 입장에서 이해하기 쉽게 설명된 자료가 있는지 궁금하다는 질문임
  • 우선 자바스크립트 엔진 버그 등으로 렌더러 프로세스를 장악하는 게 1단계이고, 이 상태에서도 렌더러는 샌드박스에 갇혀 있음
    이번 게시물의 버그는 2단계(샌드박스 탈출)용임
    공개된 patch.diff는 이미 해킹당한 렌더러 프로세스를 시뮬레이션하기 위한 패치임을 설명함
• 리워드 관련 코멘트 링크는 여기임
• 인생이 바뀔 정도의 큰돈이라는 감탄과 함께, 이런 리워드를 볼 수 있어서 좋다는 의견임
  • 내가 살고 있는 덴마크에서는 이 금액이 세금이 없다고 해도 수도에 방 한 칸짜리 아파트도 살 수 없는 수준임
  • 처음 $240,000 보너스를 받았을 때 인생이 바뀔 줄 알았는데, 세금으로 $100,000 빠짐
    차값 $20,000 내고 나니 크게 할 수 있는 것이 없었음
    LA/SF/NYC 기준 집값에 턱없이 부족했고, 스타트업 시작하기에도 모자랐음
    대학생처럼 살면 2~3년은 살아볼 수도 있었지만 이미 34살이었고, 대학생 생활로 돌아가기는 어려웠음
    결국 정말 큰 변화를 주진 못했고, 물론 이런 큰돈을 받게 된 건 감사한 일인데 내 생각만큼 인생이 달라지진 않았던 경험을 공유함
    25년 전이고, 지금은 세 도시 중 어디서든 100만 달러(세후 60만 달러)도 인생을 바꿀 만한 금액이 아님
    그나마 집 계약금이나 자녀 대학비 정도는 가능하겠지만, 기대했던 자유로움은 못 느꼈던 경험임
  • 어디에 사느냐에 따라 금액의 의미가 다르다는 의견임
    선진국 내에서는 $250,000가 인생을 바꾸는 돈이라고 하긴 어렵고, "잠깐 걱정을 덜 수 있는 돈" 정도라는 의견임
    세금 내고 나면 집도 못 사는 수준임
• 이런 대형 프로젝트에서 버그를 찾는 게 정말 대단하다고 느끼며, 건초더미에서 바늘 찾기 같다는 감탄임
  • 커다랗고 복잡한 프로젝트일수록 코드도 많고 버그도 많아서 오히려 작은 프로젝트보다 이슈 찾기는 쉽다는 의견임
    하지만 Sandbox Escape처럼 심각한 버그는 Google의 프로 보상 정책 때문에 이미 수많은 사람들이 수동, 자동 분석(퍼저 도구 포함)을 해봤기에 찾기 매우 어려운 게 맞다는 설명임
    2014년에 우연히 크롬에서 버그를 발견해(버그를 찾으려고 한 것도 아님, 그냥 JS코드 작성하다가 문제 발견) 보고했더니 Google이 $1,500을 지급했음. 30분 정도 걸렸다는 경험담도 공유함
    관련 링크
  • 반대로 커다란 프로젝트면 오히려 컴포넌트 사이의 이상한 상호작용이 많기 때문에 찾기 쉽다는 생각임
    중요한 보안 경계를 이루는 부분(이번엔 렌더러와 브로커 간 통신)에 집중해서 엣지케이스를 파고드는 게 요점임
    구글은 이런 형태의 버그에 돈을 주기 때문에 발견 시 큰 보상이 따름
    물론 아직 연구자의 실력이 엄청나야 찾을 수 있는 건 사실임
• 보상 지급 속도도 인상적임
  약 4주 만에 리워드가 나왔는데, 많은 회사들은 버그 리포트 인정만 해도 몇 달씩 걸리는 경우가 많음
• DOJ가 크롬 분할을 강제한 뒤 새로운 오너십이 생긴다고 가정하면 이 정도 수준의 버그 바운티가 지속될 수 있을지 회의적임