카카오가 자사 서비스의 치명적 오류를 발견한 이용자에게 최대 1000만원의 포상금을 주는 '버그바운티' 프로그램을 본격적으로 확산한다.
12일 카카오는 버그바운티 이용자 식별 및 회원 관리·문의 대응 등 의사 소통에 이용하기 위한 목적으로 이메일 주소·비밀번호 등 개인정보를 수집해 처리한다는 내용의 새로운 개인정보처리방침을 안내했다. 지난달 28일부터 효력이 발생했다.
버그바운티는 IT 서비스의 취약점을 발견한 이용자에게 보상을 주는 제도다.
네이버의 경우 한국인터넷진흥원(KISA)과 약 6개월 동안 시범 운영한 뒤 2019년부터 독립적으로 진행하고 있다. 2021년 참여자 166명에게 총 1억1600만원의 포상금을 지급한 바 있다.
카카오도 올해 상반기 자체 사이트를 구축한 데 이어 이번에 관련 개인정보처리방침을 업데이트했다.
카카오 관계자는 "기존에는 제보 입수를 KISA가 받아서 공유했지만, 제보자와의 직접 소통으로 빠르게 조치하기 위해 운영 방식을 변경했다"고 말했다.
카카오는 취약점의 위험도와 발굴 난이도 등을 종합적으로 검토해 최소 5만원에서 최대 1000만원의 포상금을 책정한다.
카카오톡·카카오맵·카카오번역·카카오계정 등 카카오 서비스 6개, 다음메일·다음뉴스·다음카페 등 다음 서비스 14개가 대상이다.
데이터베이스 명령어 주입(SQL 인젝션)·서버 요청 조작(SSRF)·권한 상승 및 우회·허용되지 않은 리소스 접근 등을 발견해 보고하면 포상을 받을 수 있다. 증명 없이 가능성만 제시하거나 게시물·댓글·메시지를 대량으로 반복 작성하면 포상에서 제외된다.
또 사회공학적·물리적 공격이나 도스 공격(서비스 거부), 자동화 스캔 또는 무작위 대입 행위 등을 하면 회원 자격이 박탈된다.
계열사를 포함한 카카오 임직원은 이 프로그램에 참여할 수 없다. 퇴직 후 2년이 지나면 가능하다. 국내외에 거주하는 한국인이어야 한다.
제출할 수 있는 취약점의 개수는 제한하지 않는다. 모두 개별적으로 평가한다. 여러 취약점을 기재해 제출하면 한 건으로 본다.
카카오 버그바운티 프로그램은 비공개를 원칙으로 한다. 취약점 정보를 블로그나 SNS(사회관계망서비스) 등에 올려 제3자에게 공개하면 법적 불이익이 발생할 수 있다.
정길준 기자 kjkj@edaily.co.kr