반응형
한번쯤은 생각한 수익모델이다. '버그리포트'라고 하지만 '버그 현상금 사냥꾼'이라 하는 것이 나을 것이다.
하지만 기업의 약점을 잡고 있기에 수익을 올릴 수 있을 것으로 보인다. 다른 수익 모델을 찾을 수도 있다고 말한다. 하지만 벤더에게 '자릿세'를 요구하면 안 들어 줄 수 없는 상황으로 보인다.
한국에도 이런 모델로 사업을 한다면 과연 여론을 이겨낼 수 있을까? 아니 공개적으로는 아니지만 비슷한 모델로 활동을 하는 프리렌서는 많을 것으로 보인다. 좋은 의도이던 아니던.
야렛 드모트가 지난 4월에 설립한 취약점 발견 및 분석(VDA) 연구소는 소프트웨어에서 찾아낸 보안 버그를 해당 소프트웨어 벤더에 알려주는 일을 한다. 여기까지는 다른 많은 보안 연구자들과 동일하다.버그 현상금 사냥꾼들이 수입을 올리는 수법은 매우 다양하다.
하지만 VDA의 사업 모델은 벤더에게 VDA가 찾아낸 버그 또는 VDA의 컨설팅 서비스에 돈을 지불할 것인지를 물어 보고, 그렇게 하지 않으면 VDA는 버그를 다른 회사에 팔겠다고 위협하거나 보안 결함의 상세한 내용을 공개하겠다고 위협하는 것이다.
이번 여름에 소프트웨어 회사들과 보안 벤더들이 그런 발견 정보를 놓고 경합을 벌이는 경매 사이트 와비사비라비(WabiSabiLabi)가 등장하면서, 취약점을 구입하는 사람들이 악의적인 공격자들일 수도 있다는 논쟁이 벌어지고 있다.
버그 사냥꾼「돈을 낼래, 고생 좀 할래?」
반응형
