파리, 프랑스 크라우드소싱 보안 테스트 및 취약점 관리 플랫폼 예스위핵(YesWeHack)이 캐스케이드 방식에 따라 유럽연합 집행위원회(European Commission)의 새로운 버그 바운티(Bug Bounty) 서비스 우선 공급업체로 선정됐다.

유럽연합(EU)의 주요 집행 기관은 2019년부터 EU 서버와 시스템 전반에서 사용되는 오픈소스 자산을 강화하기 위해 버그 바운티 프로그램을 운영해왔다. 올해 확대된 이니셔티브를 재개하기 위해 새로운 입찰이 시작됐다. 경쟁 플랫폼을 제치고 높은 점수를 받은 예스위핵은 최대 767만9875유로 규모의 4년 기본 계약을 체결하며 버그 바운티 서비스의 최우선 공급업체가 됐다.

예스위핵은 일련의 버그 바운티 프로그램과 취약점 공개 정책(Vulnerability Disclosure Policies, VDP)을 구성하는 데 있어 집행위원회 디지털 서비스 총국(Directorate-General for Digital Services, DIGIT)을 지원할 예정이다. 엄선된 보안 연구원들이 인기 있는 오픈소스 기술을 포함해 EU 기관이 사용하는 디지털 자산을 테스트할 것이다.

집행위원회는 오랫동안 EU 기관 내에서 커뮤니티가 구축한 소프트웨어의 채택과 개발을 촉진해 왔으며, 오픈소스 보안을 전략적 우선순위로 삼고 있다. 사이버 위협이 증가하는 가운데, 집행위원회 버그 바운티 전략의 최신 단계는 더 광범위한 오픈소스 프로젝트뿐만 아니라, 자체 애플리케이션을 강화하기 위해 크라우드소싱 보안 테스트를 활용하고자 하는 모든 EU 기관까지 범위를 확대한다.

미겔 디에즈 블랑코(Miguel Diez Blanco) DIGIT 상호운용성 인에이블러 및 오픈 소스 팀장은 “이 새로운 기본 계약에 큰 기대를 걸고 있다”며 “첫 번째 낙찰 업체인 예스위핵이 우리가 제작하는 소프트웨어를 보호하고 오픈소스 프로젝트를 더 잘 보호하기 위한 지속적인 이니셔티브를 지원하는 데 있어 우리의 목표를 달성하는 데 중요한 역할을 할 것이라고 확신한다”고 말했다.

공공 부문 실적

프랑스, 싱가포르, 독일, 카탈루냐, 핀란드, 퀘벡의 정부 기관을 아우르는 예스위핵의 다양한 고객 명단에 EU 집행위원회도 합류했다.

예스위핵은 오픈 소스 분야에서도 강력한 실적을 보유하고 있다. 예를 들어 독일 정부의 주권 기술청(Sovereign Tech Agency)은 플랫폼에서 인기 있는 오픈소스 프로젝트를 위한 다양한 프로그램을 운영하고 있다. 역대 가장 큰 피해를 입힌 취약점 중 하나인 로그포쉘(Log4Shell)의 원인인 로그포제이(Log4j)를 위한 프로그램도 포함된다.

기욤 바소-울리에르(Guillaume Vassault-Houlière) 예스위핵 최고경영자 겸 공동 창업자는 “EU 집행위원회가 EU 기관뿐 아니라 수백만 시민에게도 매우 중요한 자산을 보호하는 일을 우리에게 맡겨 영광”이라며 “이번 결정은 미국 공급업체를 대신하는 선도적 대안인 예스위핵의 입지를 세계적으로 공고히 한다. 하지만 진정한 어려운 일은 이제부터 시작이다”고 말했다.

이 보도자료는 해당 기업에서 원하는 언어로 작성한 원문을 한국어로 번역한 것이다. 그러므로 번역문의 정확한 사실 확인을 위해서는 원문 대조 절차를 거쳐야 한다. 처음 작성된 원문만이 공식적인 효력을 갖는 발표로 인정되며 모든 법적 책임은 원문에 한해 유효하다.

웹사이트: https://www.yeswehack.com/