애플이 자사의 Private Cloud Compute(PCC) 시스템에 대한 보안 취약점을 찾는 연구자들에게 최대 100만 달러의 보상금을 제공하는 새로운 버그 바운티 프로그램을 발표했습니다. 이번 글에서는 PCC의 개념, 보상 체계, 주요 취약점 대상, 참여 방법 등을 간단하게 알아보겠습니다.
Private Cloud Compute (PCC)란?
PCC는 애플의 새로운 클라우드 컴퓨팅 플랫폼으로, Apple Intelligence와 같은 민감한 AI 서비스를 구동하기 위해 설계된 시스템입니다. 쉽게 말해, 애플의 PCC는 사용자 데이터의 프라이버시를 지키기 위한 매우 안전한 클라우드 환경입니다. 여기서 중요한 것은 이 플랫폼이 보안성을 보장하며 외부의 위협으로부터 사용자의 민감한 정보를 보호할 수 있다는 점입니다.
버그 바운티 보상 체계
애플은 보안 연구자들이 PCC 시스템의 취약점을 검증하고 발견할 수 있도록 최대 100만 달러의 보상을 제공합니다. 보상금은 취약점의 심각도에 따라 다양하게 책정되며, 주요 보상 체계는 다음과 같습니다.
- 최대 100만 달러: 사용자의 허가 없이 임의의 코드를 실행할 수 있는 취약점
- 25만 달러: 신뢰 경계 밖에서 사용자 요청 데이터에 접근할 수 있는 취약점
- 15만 달러: 신뢰 경계 밖에서 민감한 사용자 정보에 접근할 수 있는 취약점
- 10만 달러: 인증되지 않은 코드를 실행할 수 있는 취약점
- 5만 달러: 구성 문제로 인한 데이터 노출 취약점
공식 애플 버그 바운티 보상 목록
애플은 다양한 제품과 서비스의 보안 취약점을 발견한 연구자에게 보상을 제공합니다. Products 보상 체계는 다음과 같습니다. Apple Security에 방문하면 Services 관련 보상체계도 자세히 확인할 수 있습니다.
- 물리적 접근을 통한 기기 공격
- 잠금 화면 우회: $5,000 - $100,000
- 사용자 데이터 추출: $5,000 - $250,000
- 사용자가 설치한 앱을 통한 기기 공격
- 민감한 데이터에 대한 무단 접근: $5,000 - $100,000
- 권한 상승: $5,000 - $150,000
- 사용자 상호작용이 필요한 네트워크 공격
- 한 번의 클릭으로 민감한 데이터에 대한 무단 접근: $5,000 - $150,000
- 한 번의 클릭으로 권한 상승: $5,000 - $250,000
- 사용자 상호작용 없이 네트워크 공격
- 물리적 접근으로 라디오를 통해 커널에 대한 제로 클릭 공격: $5,000 - $500,000
- 제로 클릭으로 민감한 데이터에 대한 무단 접근: $5,000 - $500,000
- 영구성과 커널 PAC 우회를 포함한 커널 코드 실행 제로 클릭 공격: $100,000 - $1,000,000
추가 보너스 취약점
- 베타 소프트웨어 관련 문제: 개발자 및 공개 베타 릴리스에 새롭게 추가된 기능이나 코드에 대한 문제(50% 추가 보너스, 최대 $1,500,000)
- 잠금 모드 우회: 잠금 모드의 특정 보호 기능을 우회하는 문제(100% 추가 보너스, 최대 $2,000,000)
참여 방법과 보상 신청
PCC 보안 검증에 참여하고 싶은 연구자라면 애플의 보안 가이드를 통해 시스템 설계를 자세히 살펴볼 수 있습니다. 또한,PCC를 실행하고 보안을 검토할수 있는 환경의 VRE를 사용하여 소프트웨어를 검사하고, 발견된 취약점은 애플의 Apple Security Bounty 페이지를 통해 제출할 수 있습니다.