클라우드나 게임 등 온라인 서비스 기업들은 외부의 위협에서 서비스를 안심하고 쓸 수 있도록 수많은 취약점을 찾아내 고치고 있습니다. 하지만 아무리 튼튼하게 서비스의 문을 고쳐도 찾아내지 못한 취약점이 발견될 때가 많은데요. 이처럼 서비스 업체가 찾지 못한 취약점을 알아내기 위해서 종종 거액의 현상금을 걸기도 합니다.
최근 마이크로소프트도 XBOX 라이브 서비스와 관련된 취약점을 찾아내기 위해 현상금을 걸었습니다. XBOX 현상금 프로그램은 취약점의 수준에 따라 최소 1천 달러에서 최대 2만 달러까지 지불됩니다.
가장 많은 상금을 지불하는 보안 취약점은 원격 코드 실행으로 매우 높은 수준의 치명적 취약점에 2만 달러를, 원격 실행이 되나 중요도가 낮으면 5천 달러를 지불합니다. 이 밖에도 권한 상승, 보안 기능 우회, 정보 탈취 같은 보안 취약점도 그 중요도에 따라 최고 5천 달러에서 최저 1천 달러까지 차등 지급됩니다.
하지만 현상금 지급이 제외되는 취약점도 있습니다. 서비스 거부 공격(DDoS)나 마이크로소프트 직원 또는 XBOX 고객 피싱은 취약점으로 분류되지 않는다는군요. 아마도 마이크로소프트 서버에서 무단 코드를 실행하는 방법을 찾은 이들이 있다면 현상금을 받는 데 문제는 없을 것 같습니다.