(싱가포르 2021년 6월 11일 PRNewswire=연합뉴스) 동남아시아 굴지의 전자상거래 플랫폼 Lazada가 18개월 동안 민간 취약점 제보 보상 프로그램(bug bounty program)을 성공적으로 운영한 끝에, YesWeHack과 함께 취약점을 찾아내기 위한 공적 취약점 제보 보상 프로그램을 출시한다고 발표했다. Lazada는 작년 1월부터 민간 취약점 제보 보상 프로그램의 일환으로 자사의 IT 환경에서 보안 취약점을 찾고자 윤리적 해커들과 협력했으며, 이제 이 프로그램을 사이버 보안 커뮤니티 전체로 개방하고 있다.
공적 취약점 제보 보상 프로그램을 출시한 Lazada는 전자상거래 산업에 성명을 내고, 제보된 취약점당 최대 미화 10,000달러를 보안 연구원에게 제공함으로써, 고객과 파트너를 위해 보안과 투명성에 우선순위를 두고 있음을 강조했다.
고객 데이터 보호가 최우선순위
2012년에 설립된 Lazada(본사: 싱가포르)는 동남아시아 굴지의 전자상거래 플랫폼으로써 2016년에 알리바바 그룹에 인수됐다. 인도네시아, 말레이시아, 필리핀, 싱가포르, 태국 및 베트남에서 사업을 운영하는 Lazada는 18,000개가 넘는 브랜드를 포함하는 지역 최대 규모의 가상 쇼핑몰 LazMall 외에 물류, 소매 기술 및 결제 서비스 솔루션도 제공한다.
Lazada는 민간 취약점 제보 보상 프로그램을 시작한 후 취약점을 찾기 위해 100명이 넘는 윤리적 해커와 협력했고, 보안 연구원들에게 미화 150,000달러가 넘는 보상금을 제공했다. 여기에는 YesWeHack 커뮤니티 해커들이 48시간 이내에 취약점을 찾아낸 공적 취약점 제보 보상 프로그램을 위한 사전 출시 행사도 포함된다.
Lazada 그룹 최고위험책임자(Chief Risk Officer) Alan Chan은 "데이터와 개인 정보가 중요한 만큼, 자사는 고객을 보호하는 데 상당한 주의를 기울이고 있으며, 안전한 쇼핑 플랫폼을 보장하고자 이와 같은 취약점을 시정해왔다"라며, "데이터 보안의 성격은 물론 기술을 이용해 데이터를 훔치는 해커의 공격성도 진화하는 만큼, IT 에코시스템을 강화하기 위해서는 더 큰 규모의 사이버 보안 커뮤니티와 협력해야 할 것"이라고 언급했다.
이어 그는 "YesWeHack과 협력한 후로 동일한 취약점 유형이 재발하는 것을 방지하고자 보안 소프트웨어 개발 과정을 개선했고, 이를 통해 보안성을 높일 수 있었다"면서 "YesWeHack은 자사가 더 광범위한 연구원들과 협력함으로써 보안 모니터링이 취약점 이용을 잡아낼 수 있음을 입증하는 데 매우 유용하게 작용했다"라고 설명했다.
중요한 취약점 신고에 최대 미화 10,000달러의 보상금 지급
Lazada는 예전에는 민간 프로그램으로 테스트하던 영역을 공적 프로그램으로 이전함으로써, 고객에게 투명성과 보안성을 제공하기 위한 추가 절차를 진행 중이다. 이를 통해 전 세계 사이버 보안 연구원들이 이 프로그램에 참여하고, 전자상거래 플랫폼에서 발견한 취약점을 신고할 수 있게 됐다.
그뿐만 아니라, 개인 데이터에 영향을 미치고, 심각성이 '높은' 수준이거나 '위험' 수준인 취약점에 특히 주의를 기울일 예정이다. Lazada는 중요한 취약점 신고서를 제출한 보안 연구원에게 최대 미화 10,000달러의 보상금을 지급할 예정이다. 이 공적 취약점 제보 보상 프로그램에 관한 추가 정보는 여기[ https://yeswehack.com/programs/lazada ]를 참조한다.
Lazada 사이버 방어(Cyberdefence) 부문 책임자 Franck Vervial은 "자사는 이 최신 공적 취약점 제보 보상 프로그램을 시작함으로써 모두에게 'Lazada는 보유한 데이터의 중요성에 가치를 둔다'는 분명한 메시지를 전하는 것"이라며 "YesWeHack 커뮤니티의 전문지식을 믿고 있으며, 앞으로 새로운 공격 방식을 찾고 이에 대응하기 위해 윤리적 해커들과 계속 협력할 계획"이라고 말했다. 이어 그는 "이는 자사의 데이터, 직원 및 고객을 취약성으로부터 보호하기 위한 것"이라고 덧붙였다.
YesWeHack APAC 상무이사 Kevin Gallerin은 "Lazada와 함께 자사의 아시아 시장을 확장하는 한편, 점점 정교해지는 사이버 위협으로부터 Lazada의 전자상거래 플랫폼과 고객을 보호하게 된 것을 기쁘게 생각한다"며, "지난 18개월 동안 양측이 협력한 끝에, 이번에 공적 프로그램으로 전환하게 됐다"고 말했다. 그는 "18개월에 걸쳐 자사의 국제 연구원 커뮤니티는 효과성과 광범위한 기술 범위를 증명한 것"이라면서 "Lazada는 더욱 광범위한 커뮤니티와 손을 잡음으로써 보안성을 강화하고, 투명성과 데이터 프라이버시 및 보호를 위해 싸우고 있다. 궁극적으로 APAC 전역에서 수백만 사용자의 신뢰와 경험을 구축하고 유지할 것"이라고 설명했다.
Lazada Group 소개
2012년에 설립된 Lazada Group은 동남아시아 굴지의 전자상거래 플랫폼이다. Lazada는 상업과 기술을 통해 인도네시아, 말레이시아, 필리핀, 싱가포르, 태국 및 베트남에서의 확장에 박차를 가하고 있다. 동남아시아 최대의 물류와 결제 네트워크를 확보한 Lazada는 지역 내 소비자 일상생활의 일부를 차지한다. Lazada는 2030년까지 3억 명에 달하는 쇼핑객을 유치한다는 목표를 세웠다. Lazada는 2016년부터 세계적 수준의 기술 기반시설을 바탕으로 알리바바 그룹의 동남아시아 플래그십 플랫폼으로 활약하고 있다.
YesWeHack 소개
2015년에 설립된 YesWeHack은 세계적인 취약점 제보 보상 및 VDP 플랫폼이다.
YesWeHack은 Bug Bounty(발견한 취약점 건당 보상)를 통해 기업에 혁신적인 사이버 보안 접근법을 제공한다. 또한, 기업의 웹사이트, 모바일앱, 기반시설 및 연결 장치에서 노출된 범위와 신고 취약점을 확보하고자 170개국에서 25,000명이 넘는 사이버 보안 전문가(윤리적 해커)를 기업과 연계한다.
YesWeHack은 전 세계 수백 곳의 조직을 위해 가장 엄격한 유럽 규정에 따라 민간 프로그램(초청받아야만 이용 가능)과 공적 프로그램을 운영하고 있다.
YesWeHack은 Bug Bounty 플랫폼 외에 취약점 공개 원칙(Vulnerability Disclosure Policy, VDP), Dojo라는 윤리적 해커를 위한 학습 프로그램, 그리고 교육 기관을 위한 훈련 프로그램 YesWeHackEDU 구축도 지원한다. 추가 정보는 웹사이트 www.yeswehack.com을 참조한다.
출처: Lazada Group