구글, CVSS 10.0 GCP 취약점 발견자에 '잘 잡았어' 칭찬 후 '의도된 기능'으로 포상금 거부

구글의 모순된 대응

구글의 대응 스토리는 정반대되는 행보를 보여줍니다.

1단계 — "잘 잡았다!" 오리어리는 2026년 3월 8일 구글에 버그를 신고했습니다 . 3월 27일, 구글 보안 엔지니어가 신고를 접수하고 그에게 "Nice Catch!"라고 말했습니다 . 엔지니어는 관련 제품 팀에 버그를 등록했으며 구글 클라우드와 협력하여 결함을 수정하겠다고 확약하며 "우리는 제품 팀과 협력하여 이 문제가 해결되도록 할 것입니다. 문제가 해결되면 알려드리겠습니다"라고 썼습니다 . 구글은 이 버그에 P1 우선순위(최고)와 S1 심각도(치명적—사용자 대다수에게 영향 및 핵심 조직 기능 방해 가능)를 할당했습니다 .

2단계 — "의도된 동작입니다." 4월 7일—11일 후—오리어리는 구글 보안 봇으로부터 결정을 번복하는 메시지를 받았습니다 . 클라우드 취약점 보상 프로그램(VRP) 패널은 "이 문제의 보안 영향이 보상 지급 자격 기준을 충족하지 못한다"며 소프트웨어가 "의도된 대로 작동하고 있다"고 결론 내렸습니다 . 구글은 모든 바운티 지급을 거부했습니다.

모순점: The Register의 6월 18일 보도 기준으로, 구글의 내부 버그 트래커는 여전히 ConfigConfusion을 P1/S1 상태로 "진행 중(접수됨)" 으로 분류하고 있습니다—취약점이 존재하지 않는다는 공식 입장과 상충됩니다 .

미해결 상태

2026년 6월 중순 기준—최초 신고 후 3개월 이상—이 취약점은 여전히 패치되지 않고 해결되지 않았습니다 . 오리어리는 olearysec.com에서 전체 기술적 세부 사항을 담은 연구 블로그 게시물을 공개했습니다 .

구글의 2026년 VRP 변경 사항 — 더 넓은 맥락

2026년 5월 초, 구글은 크롬(Chrome)과 안드로이드(Android)에 대한 취약점 보상 프로그램(VRP)을 전면 개편하면서 명시적으로 취약점 발견에서 AI 도구의 증가를 언급했습니다 .

주요 변경 사항:

• 크롬 지급액이 대부분의 범주에서 하락했습니다. 구글의 이유는 AI 도구가 대량의 낮은 품질의 제출물을 쉽게 생성할 수 있기 때문에, 더 높은 영향력을 가진, 자동화하기 어려운 버그 클래스로 보상을 재구성했다는 것입니다 .
• 안드로이드 최고 지급액은 상승했습니다—지속성을 갖춘 제로 클릭 풀체인 Titan M2 침해는 최대 150만 달러까지 지급됩니다 .
• 크롬의 CVE 발행 건수는 전년 동기 대비 4배 증가했습니다(2025년 5월 초까지 52건에서 2026년 5월 초까지 252건). 구글은 이를 AI 생성 제출 급증의 증거로 인용했습니다 .

비평가들은 이것이 어색한 대조를 만든다고 주장합니다: 구글은 "AI 노이즈"를 이유로 크롬 지급액을 삭감하면서도, 동시에 인간 연구원이 신중하게 보고한 CVSS 10.0 클라우드 인프라 버그에 대해 '의도된 대로 작동한다'는 이유로 보상을 거부하는 것입니다. 이는 보안 커뮤니티에서 근시안적이고 연구원 신뢰를 해치는 결정으로 간주되고 있습니다 .