오픈AI, 치명적 보안취약점 제보 시 최대 10만 달러 보상…버그 바운티 프로그램 강화

오픈AI, 치명적 보안취약점 제보 시 최대 10만 달러 지급…버그바운티 보상 5배↑ - 데일리시큐

오픈AI, 치명적 보안취약점 제보 시 최대 10만 달러 지급…버그바운티 보상 5배↑ - 데일리

 

• 보상 정책 강화 배경
  • 오픈AI는 고위험 보안 취약점에 대한 보상 한도를 2만 달러에서 10만 달러로 5배 인상
  • 글로벌 보안 연구자와 협력해 AI 서비스 및 인프라 보안을 강화하기 위한 전략적 조치
  • 주당 약 4억 명의 사용자 기반을 가진 플랫폼 보안을 위한 커뮤니티 참여 유도 목적
• 보상 대상 및 프로모션 정책
  • 2025년 4월 30일까지 IDOR(Insecure Direct Object Reference) 제보 시 최대 1만3천 달러 보너스 지급
  • 취약점 유형별 보상 범위를 세분화하고 우선순위에 따라 추가 보상 적용
  • 보상 대상 제외 항목에는 모델의 안전성 관련 우회(jailbreak, exploit) 사례 포함
• 버그 바운티 프로그램 운영 구조
  • 버그크라우드(Bugcrowd) 플랫폼 기반으로 운영 중
  • 2023년 4월 정식 시작 이후 209건의 보상 제보 실적 기록
  • 제보 대상, 인증 절차, 보고 템플릿 등 절차가 체계적으로 운영됨
• 배경: 과거 보안 사고 대응
  • 2023년 3월 Redis 클라이언트 버그로 인한 챗GPT 플러스 구독자 정보 유출 사고 경험
  • 약 1.2% 사용자에게 이름, 이메일, 결제 주소 및 일부 신용카드 정보 노출
  • 해당 사고 이후 전반적인 보안 강화 전략의 일환으로 보상 정책 확대
• 보안 업계 반응 및 전문가 조언
  • 업계는 보상금 상향 조치를 긍정적이며 신뢰성 있는 보안문화 조성 사례로 평가
  • 전문가들은 윤리적 해킹 기준, 제보 범위 준수, 정책 숙지의 중요성을 강조
  • 보상금 확대가 무분별한 리포트 증가가 아닌 고품질 취약점 발굴로 이어지도록 유도 필요
• 결론
  • 보안 연구자들은 공식 플랫폼의 정책 및 보상 범위 명확히 이해 후 제보 필요
  • 기업 및 기관은 AI 서비스 도입 시 유사한 보안취약점 관리 체계 및 버그 바운티 운영 고려 권장
  • Redis와 같은 서드파티 오픈소스 라이브러리 사용 시 정기적인 취약점 점검 및 버전 관리 필수