보안 및 개인정보 처리방침
5 분 읽기 분량
Zoom이 사이버 공간에서 안전을 유지하기 위해 지원하는 방식
사이버 보안의 달은 10월이지만 사이버 인식은 연중 내내 실천해야 합니다. 직장과 가정에서 데이터를 보호하는 이 팁을 확인하세요.
미래의 보안: H1-4420 이벤트에서 함께하는 Zoom과 HackerOne
감격스럽게도 Zoom은 2023년 6월 22일 런던 CodeNode에서 열리는 올해의 HackerOne H1-4420 이벤트 후원자가 될 수 있었습니다.
4 분 읽기 분량
업데이트 날짜 August 02, 2023
게시 날짜 July 24, 2023
이 블로그에서는
- 01 한 자리에 모인 전 세계 최고의 해커들 - Jumplink to 한 자리에 모인 전 세계 최고의 해커들
- 02 버그 평가: CVSS 및 VISS를 사용한 취약성 평가 - Jumplink to 버그 평가: CVSS 및 VISS를 사용한 취약성 평가
- 03 AI 사용과 Zoom 이스터 에그 찾기 - Jumplink to AI 사용과 Zoom 이스터 에그 찾기
- 04 창의성과 즐거움의 영역 확대: 해커 활동 - Jumplink to 창의성과 즐거움의 영역 확대: 해커 활동
- 05 연구원 보상: Zoom의 버그 바운티 프로그램 영향 - Jumplink to 연구원 보상: Zoom의 버그 바운티 프로그램 영향
이 게시물 공유하기
Roy Davis
보안 관리자
Zoom에서 보안과 개인정보 보호는 단순한 유행어가 아니라 Zoom의 문화와 주요 이니셔티브의 일부입니다. 계속 진화하는 사이버 보안 환경에서 우리는 잠재적인 위협에 앞서는 것이 필수적이라는 것을 알고 있습니다. 그래서 Zoom은 윤리적인 해커 커뮤니티의 전문 지식을 활용해서 취약성이 악의적인 행위자에 의해 악용되기 전에 먼저 식별하고 해결할 수 있도록 지원합니다. 이러한 노력의 일환으로 Zoom은 HackerOne과 제휴 관계를 맺고 실제 해킹 이벤트에 참여하고 있습니다.
감격스럽게도 Zoom은 2023년 6월 22일 런던 CodeNode에서 열리는 올해의 HackerOne H1-4420 이벤트 후원자가 될 수 있었습니다. 이 이벤트 덕분에 Zoom은 전 세계에서 가장 재능 있고 윤리적인 해커들과 함께 협력하고 Zoom 플랫폼의 보안 향상에 도움이 되는 소중한 기회를 얻을 수 있었습니다. 이 커뮤니티와의 적극적인 협력을 통해 위험 완화는 물론 혁신과 지속적인 서비스 개선 효과를 기대할 수 있습니다.
41개 이상 국가에서 90명 이상의 보안 전문가들이 직접 또는 가상 참여 방식을 통해 H1-4420 이벤트에 함께했습니다. 이러한 숙련된 해커들은 현미경 위에 올려놓고 분석하듯이 Zoom Mail 및 Zoom Calendar부터 Zoom AI Companion까지 다양한 Zoom 플랫폼 제품의 잠재적인 취약성을 찾았습니다. 이러한 노력은 제품 발전과 고객 보호에 필요한 귀중한 자양분이 됩니다. Zoom은 이들의 기여에 깊은 감사의 말을 전합니다.
H1-4420의 바운티 지급 및 기타 부문에서 최고 성과자는 다음과 같습니다.
1위, Exterminator: cache-money
2위, Vigilante: f6x
최고 협업상: tomanthony, todayisnew, hx01 및 shubs.
Zoom은 이러한 전문가들의 윤리적 해킹 전략 활동을 축하하고 지원할 수 있는 기회를 갖게 되어 자랑스럽게 생각합니다.
H1-4420 참여 해커들은 기존의 공통 취약성 채점 시스템(CVSS) 접근 방식 그리고 Zoom의 새로운 취약성 영향 채점 시스템(VISS)을 모두 활용하는 고급 버그 평가 프로세스를 거쳤습니다. VISS에서 Zoom은 표면 수준의 분석을 넘어 Zoom 플랫폼에 대한 각 버그의 입증된 영향을 평가했습니다.
버그 바운티 프로그램에 VISS를 통합함으로써 리소스를 효율적으로 할당하고 가장 중요한 취약성에 집중할 수 있도록 지원합니다. 이러한 사전 예방적인 접근 방식은 전반적인 보안 태세를 강화하여 소중한 고객을 위해 안전한 보안 환경을 보장할 수 있도록 지원합니다. Zoom은 VISS 구현을 통해 보안 방식과 고객 신뢰를 강화하고자 노력합니다. Zoom은 포괄적인 보안 방침을 추구하고 있으며, 선제적으로 사용자를 보호할 수 있도록 노력하고 있습니다.
올해 이벤트에서 Zoom은 또한 참가자들이 풀어야 할 추가적인 퍼즐로 3개의 '이스터 에그'를 준비했습니다. 각 3개의 퍼즐에는 서로 다른 유형의 악용을 통해 각 알고리즘을 파괴하는 과정이 포함되었습니다. 한 가지 예시로 'rez0'라는 해커는 AI 툴을 사용해서 새로운 단어 목록을 생성하여 무차별 암호 대입 공격 방식으로 퍼즐을 해결하려고 했습니다. 취약성을 검색하고 악용할 때 효율성을 높이기 위해 AI 툴을 사용하는 해커가 점점 더 증가하고 있습니다.
이 이벤트 기간 내내 해킹과 사이버 보안에 대한 논의만 진행된 것은 아닙니다. 우리는 참가자들에게 즐겁고 편안한 분위기를 제공하기 위해 노력했습니다. HackerOne은 해커들이 자신의 집으로 엽서를 보낼 수 있는 맞춤형 우체국을 준비해서 잠시 작업을 멈추고 즐겁게 휴식을 취할 수 있도록 했습니다. 또한 해커들이 창의성을 발휘하고 예술적인 표현을 즐길 수 있도록 컬러링 벽을 준비했습니다. Zoom은 균형적이고 즐거운 환경에서 협업이 개선되고 새로운 아이디어가 나올 수 있다고 믿습니다.
지난 회계연도에 Zoom은 수백 명의 연구원들에게 바운티로 390만 달러를 수여했으며 지금까지 버그 바운티 프로그램으로 수여된 총 금액이 700만 달러를 넘었습니다. 이러한 투자는 최고 수준의 고객 보안 및 개인정보 보호를 유지하기 위한 당사의 노력을 반영합니다.
버그 바운티 프로그램의 지속적인 발전 외에도 H1-4420과 같은 이벤트는 사이버 보안 환경에서 앞서 나가기 위해 필요한 협업과 집단적인 노력의 중요성을 상기시켜 줍니다. 전 세계 윤리적 해커들과 함께 협력함으로써 Zoom은 취약성을 사전에 해결하고 고객을 위해 더 안전한 환경을 만들 수 있습니다.
윤리적 해킹 노력과 취약성 공개 정책에 대해 자세히 알아보려면 버그 바운티 프로그램 페이지를 참조하세요.
편집자 주: 이 블로그 게시글은 2023년 7월 31일에 버그 바운티 프로그램에 대한 최신 정보를 추가하여 편집되었습니다.
함께 읽으면 좋은 글
