구글, '잘 잡았다'고 해놓고 버그 바운티 거부…CVSS 10.0 급 GCP 권한 상승 취약점 3개월째 방치

구글의 모순된 대응 타임라인

이 사건은 거의 3개월 동안 진행되었지만, 현재까지 어떤 패치도 발행되지 않았고 바운티도 지급되지 않았습니다.

1. 초기 수락 — "Nice catch!"
   구글의 버그 바운티 팀은 처음에 이 보고서를 높은 우선순위 / 높은 심각도로 분류했습니다. 구글 담당자는 오리어리에게 "Nice catch!"(잘 잡았다)라는 칭찬까지 했습니다.

2. 바운티 거부 — "의도된 동작입니다"
   그런데 구글은 갑자기 입장을 번복했습니다. 보고서를 닫고 해당 동작은 '의도된 동작(working as intended)' 이라고 선언했습니다. 즉, 프로그램 규칙 상 유효한 취약점으로 간주되지 않는다는 이유로 보상은 전혀 지급되지 않았습니다.

3. 패치 없음, 여전히 열려 있음
   2026년 6월 18일 현재, 이 결함은 여전히 해결되지 않았습니다. 구글은 Config Connector를 패치하지 않았고, 오리어리에게 어떤 바운티도 제안하지 않았습니다.

더 넓은 맥락: 구글의 2026년 VRP 전면 개편

2026년 4월 말에서 5월 초, 구글은 AI 생성 제보의 급증을 이유로 Chrome과 Android에 대한 취약점 보상 프로그램(VRP)을 대대적으로 개편했습니다.

• Chrome 지급액 인하 — 구글은 보상 구조를 재편해 '실행 가능한' 영향력이 큰 버그에 우선순위를 두고, AI 도구로 대량 생성할 수 있는 영향력이 낮은 보고서에 대한 보상을 명시적으로 줄였습니다.
• Android 최고 보상 인상 — 지속적인 Titan M 제로클릭 익스플로잇에 대한 최대 지급액을 150만 달러로 올렸습니다. 이는 AI가 쉽게 찾을 수 없는 하드웨어 수준의 버그를 타겟으로 한 것입니다.
• 구글은 "Android와 Chrome 전반에 걸쳐 일부 보상 금액과 보너스를 줄일 것"이라고 밝히며, '양보다 질과 실제 영향' 에 초점을 맞추겠다고 설명했습니다.

오리어리의 사례는 클라우드 VRP(Chrome/Android가 아님)에 해당하지만, 구글이 AI 노이즈를 이유로 공개적으로 바운티를 삭감하는 시점에 수동으로 발견된 심각한 결함까지 보상을 까다롭게 보고 있다는 연구원들의 인식을 강화하고 있습니다.