MS '제로 데이 퀘스트 2026', 클라우드·AI 취약점 700건 제보에 34억원 포상

security 2026-04-16 약 3분

 tags

vote

북마크

마이크로소프트가 '제로 데이 퀘스트 2026' 해킹 대회에서 클라우드·AI 취약점 약 700건을 접수받아 230만 달러(34억원)를 포상함. 80건 이상의 고위험 취약점이 확인됐고, 전체 버그바운티 규모도 연간 251억원으로 확대 추세.

마이크로소프트가 '제로 데이 퀘스트 2026' 해킹 대회에서 클라우드·AI 분야 취약점 제보에 총 230만 달러(약 34억원)를 포상금으로 지급함

이번 대회 성과
- 약 700건의 취약점 제보 접수
- 레드먼드 본사 라이브 해킹 이벤트에서 80건 이상 고위험 취약점 확인
- 20개국 이상에서 보안 연구자 참여 — 고등학생부터 대학 교수까지 다양한 배경

올해 포상금 230만 달러(34억원), 전체 대회 상금 규모 500만 달러, 연간 버그바운티 총 1,700만 달러(251억원) — MS 역사상 최대 규모

대회 운영 방식
- 공개 연구 챌린지 + 초청형 라이브 해킹 이벤트 결합 구조
- 라이브 해킹은 2월 17일~3월 18일 진행
- 허가된 테스트 환경에서 진행, 고객 데이터나 다른 테넌트 시스템 접근 불가
SFI(Secure Future Initiative) 일환으로 진행
- 기본값 보안, 설계 단계 보안, 운영 단계 보안 강화
- 중요 취약점은 고객 조치 필요 여부와 관계없이 CVE를 통해 투명하게 공개
버그바운티 확대 추세
- 2024.7~2025.6 기간: 59개국 344명에게 총 1,700만 달러(약 251억원) 지급
- 작년 대회에서도 600건 이상 제보, 160만 달러 이상 포상
- 2024년 12월부터 제3자 코드 취약점도 포상 대상에 포함
  - 클라우드·AI 플랫폼의 공급망 위험까지 보상 체계에 포함하겠다는 의미

MS가 제3자 코드 취약점까지 포상 범위를 넓힌 것은 클라우드·AI 시대에 공급망 전체의 보안 책임을 플랫폼 사업자가 지겠다는 의지를 보여줌.

이전 기사 (P)

다음 기사 (N)

댓글을 불러오는 중...

에스투더블유, 공공기관용 보안 AI 제품 2종으로 CSAP 인증 획득

에스투더블유가 안보 AI 플랫폼 자비스와 보안 AI 솔루션 퀘이사에 대해 클라우드 서비스 보안인증을 받았다. 공공기관 납품과 조달청 디지털서비스몰 등록에 필요한 문턱을 넘었다는 점에서, 국내 보안 SaaS 시장에 꽤 실질적인 뉴스다.

레드펜소프트, 공급망 보안 전 주기 묶은 XSCAN Secure Asset 공개

레드펜소프트가 2026 상반기 기술 파트너 세미나에서 XSCAN Secure Asset을 공식 공개했어. 개발 단계의 구성요소 점검부터 외부 반입 소프트웨어 검증, 운영 서버의 실제 실행 구성요소 확인까지 하나의 워크플로우로 묶겠다는 방향이 핵심이야.

레드펜소프트, 개발부터 운영까지 묶는 소프트웨어 공급망 보안 플랫폼 출시

레드펜소프트가 소프트웨어 공급망 보안을 개발·반입·운영 단계까지 하나의 워크플로우로 관리하는 X스캔 시큐어 애셋을 출시했다. 단순 오픈소스 취약점 점검을 넘어, 실제 운영 서버에서 어떤 구성요소가 실행 중이고 어떤 취약점이 진짜 위험한지까지 연결해 보겠다는 방향이다.

이노뎁, 73억원 규모 벨리즈 AI 관제사업 수주

이노뎁이 벨리즈 정부의 AI 관제 인프라 확장사업을 약 73억원 규모로 수주했다. 기존 911 통합관제 환경에서 운영하던 플랫폼과 AI 영상분석 체계를 도시 전역으로 확대하는 계약으로, 국내 관제센터 운영 경험을 해외 공공안전 시장에 적용하는 사례다.

AI 시대 보안, 소프트웨어 공급망 공격이 더 빨라지고 더 싸졌다

이 글은 생성형 AI가 소프트웨어 공급망 공격의 속도와 규모를 키우고 있다고 경고한다. 공격자는 기업 방화벽을 직접 뚫기보다 오픈소스 패키지, 개발 도구 확장, 타사 공급업체를 노리고, 기업의 평균 취약점 수정 시간이 74일이라는 점이 치명적인 속도 격차로 지적된다.

요약