애플 보안 취약점으로 수만 달러 보상받은 14세 소년

사건의 시작

2019년, 중학교 1학년 그랜트 톰슨은 친구들과 게임을 하려던 중 애플의 주요 애플리케이션 중 하나인 페이스타임에 심각한 결함을 발견하게 됩니다.

2019년 1월 19일, 그랜트는 친구 네이선에게 페이스타임을 걸었지만, 네이선이 응답하지 않았습니다. 그래서 그랜트는 앱 메뉴를 통해 다른 친구인 디에고를 통화에 추가하게 되었습니다.

그런데 이상하게도 연결이 끊긴 네이선이 디에고를 추가하자마자 네이선도 자동으로 통화에 참여하게 된 것입니다.

이게 우연이 아니라고 생각한 그랜트는 세 친구들과 30분 동안 서로의 아이폰에서 페이스타임에 있었던 일을 재현하게 되며, 매번 성공하게 됩니다.

이렇게 그랜트는 우연히 다른 사람들의 목소리를 도청할 수 있는 페이스타임의 버그를 발견하게 된 것입니다.

그랜트는 이 사실을 바로 엄마인 미셸 톰슨에게 말하게 되었습니다.

그랜트의 엄마는 처음에 그랜트의 말을 믿지 않았습니다. 그러자 그랜트가 자신의 아이폰과 동생, 엄마의 아이폰을 사용해 버그를 재현해서 보여주게 되죠.

심각성을 알게 된 엄마 미셸은 일주일 후, 남편과 함께 이메일, 전화, 소셜 미디어를 통해 애플에 알리려고 했습니다. 그런데 애플은 아무런 반응을 보이지 않았습니다.

실제로 애플 CEO 팀 쿡에게도 이메일을 보냈고, 로펌의 헤드레터로 편지를 팩스로도 보냈다고 합니다. 이러한 최선의 노력이었지만, 애플은 끝까지 무관심하게 반응했습니다.

엄마 미셸은 알아보던 중 애플의 버그 바운티(Bug Bounty) 포상금을 주는 2016년에 시작된 프로그램을 알게 됩니다. 애플의 버그 바운티 포상금 프로그램은, 특정 애플의 소프트웨어 취약점을 발견하면 최대 20만 달러(2억 9천만 원)를 지급받을 수 있도록 되어 있습니다.

엄마 미셸은 애플의 포상금 프로그램 매뉴얼 80페이지를 읽게 되었습니다. 하지만 보통 소프트웨어 결함 또는 버그는 개발자 또는 화이트 해커에게 맞게 기술적으로 작성되기에, 일반인은 이해하기 어려운 부분이 많았습니다. 그래서 미셸은 페이스타임 버그가 실제로 신고가 되는지 확신이 없었습니다.

엄마 미셸은 그랜트가 버그를 재현한 영상을 애플 제품 보안 부서 담당자에게 보내게 되지만, 애플은 여전히 답변을 하지 않았습니다.

그러자 트위터에서 글이 인기를 끌면서 애플의 관심을 받게 되었습니다. 그러자 1월 22일경, 애플 지원팀은 미셸에게 개발자 계정을 등록해야 Radar 버그 보고서를 작성할 수 있다고 말하게 됩니다.

그런데 문제는, 미셸이 개발자 계정을 만들고 보고서를 작성하는 동안, 1주일 후, 이 버그를 악용하는 사람들이 늘어나게 되었습니다. 그럼에도 불구하고 애플 엔지니어링 팀은 문제를 인지하지 못하고 있었습니다.

애플이 나중에 이 문제를 파악하자, 최악의 상황을 방지하기 위해 페이스타임 서버를 중단하게 되었습니다.

사태의 심각성을 알게 된 후, 익명의 애플 고위 임원은 톰슨 부부를 애리조나주에서 만나게 됩니다. 고위 임원과 톰슨 부부는 버그 보고 프로세스를 개선하는 방법에 대해 논의하고, 그랜트가 버그 포상금 프로그램에 참여할 수 있는 자격이 있다고 알려주게 됩니다.

애플의 버그 바운티 시스템은 일반적으로 초대 전용이며, iCloud 계정 데이터에 접근하거나 아이폰 앱이 iOS 보안 샌드박스를 뚫는 방법을 보여주는 범주에서 제한됩니다.

또한 원래라면 애플 소프트웨어의 버그를 발견한 일반인들은 금전적 보상을 받을 수 없었습니다. 그래서 사실상 톰슨이 발견한 버그는 금전적 보상을 받을 수 없는 구조였습니다. 하지만 애플은 공개적인 사건의 특성을 고려해 예외를 인정하게 된 것입니다.

현재까지 밝혀지지 않았지만, 그랜트는 25,000달러에서 200,000달러 사이의 포상금을 받게 되었습니다.