MS, 모든 온라인 서비스 보상 대상 포함…버그 바운티 범위 대확장

마이크로소프트(MSFT)가 자사 버그 바운티 프로그램의 적용 범위를 대폭 확대한다고 발표했다. 이제부터는 자사 온라인 서비스를 대상으로 한 모든 보안 취약점이 자동으로 보상 대상에 포함되며, 오픈소스 및 서드파티 소프트웨어에서 발생한 문제도 예외 없이 평가된다.

이번 변화의 핵심은 '기본 포함(In Scope By Default)' 정책 도입이다. 이에 따라 마이크로소프트의 새로운 온라인 서비스들은 출시와 동시에 버그 바운티 보상 대상이 되며, 기존 수백만 개의 서비스 또한 별도의 승인 절차 없이 적용된다. 이를 통해 제품별 범위 설정이 필요 없어진 만큼, 보안 연구자들은 어떤 취약점이 유효한지 판단하는 데 소모되는 시간을 크게 줄일 수 있게 됐다.

마이크로소프트 보안 대응 센터(MSRC)의 엔지니어링 부사장 톰 갤러거(Tom Gallagher)는 이번 확대가 단순한 행정 절차 변경이 아닌 구조적 개편이라고 강조했다. 그는 "이제 모든 서비스가 자동으로 범위에 포함됨으로써, 연구자들이 고객에 실질적인 영향을 미치는 취약점에 집중하고 보다 빠르게 보고할 수 있게 됐다"고 밝혔다. 또한 마이크로소프트는 서드파티 또는 오픈소스 코드에서 발생하는 문제에 대해서도 더욱 적극적으로 연구자와 협력해 수정하거나, 유지관리를 지원할 계획이다.

그간 버그 바운티 프로그램은 범위 설정이 애매하거나 과도하게 제한되어 연구자들의 혼란을 야기하고 연구 활동을 제약한다는 지적이 많았다. 이에 대해 보안 기업 아웃포스트24(Outpost24)의 AI 제품 디렉터 마르틴 야르텔리우스(Martin Jartelius)는 "이번 조치는 기업의 취약점 노출면 전체를 다룬다는 점에서 중요한 진전"이라며 환영의 뜻을 밝혔다. 그는 "공격자는 코드의 출처에 개의치 않는다. 리액트투셸 같은 프레임워크든 마이크로소프트 자체 제품이든, 뚫을 수만 있다면 시도할 것"이라고 경고했다.

업계에선 이번 조치로 인해 초기에는 마이크로소프트의 보상 지급 규모가 늘어날 수 있다는 전망도 나온다. 하지만 전반적인 보안 수준이 상향되며 장기적으로는 비용 대비 효과가 클 것이란 분석이다. 사용자와 기업 고객 모두에게 직접적인 영향을 미치는 취약점을 포괄적으로 다룸으로써, 마이크로소프트는 클라우드 기반 보안 생태계 전반의 신뢰도를 끌어올리겠다는 전략이다.