2017.03.31 ()
로그인
회원가입
더스쿠프
> 뉴스 > Columns > Expert's Column
     
버그바운티서 해커를 춤추게 하라KISA의 ICT & Talk
[218호] 2016년 12월 06일 (화) 08:58:44
전길수 한국인터넷진흥원 사이버침해대응본부장 thescoop@thescoop.co.kr

▲ ‘안전한 보안은 없다’는 경계심을 갖는 게 무엇보다 중요하다. [사진=아이클릭아트]
이 세상에 완전무결한 보완은 없다. 세계 각국과 글로벌 기업들이 ‘버그바운티’에 심혈을 기울이는 이유다. 버그바운티는 쉽게 말해 화이트해커에게 보안제품의 취약성을 찾게 하는 제도인데, 효과가 상당한 것으로 입증되고 있다. 문제는 우리 기업들이 버그바운티에 소극적이라는 점이다.


올해 4~5월 미국 국방부는 화이트 해커를 대상으로 펜타곤의 보안 취약점을 찾는 ‘버그바운티(Bug Bounty)’를 진행했다. 버그바운티란 해커가 보안 제품의 취약점을 찾아 신고하면 기업ㆍ기관이 이를 보완하고 신고자에 포상금 등을 지급하는 제도다. 미국 국방부가 공개적으로 보안 취약점을 찾도록 오픈하고 보완하는 모습은 ‘보안을 감추거나 포장하는 데’ 익숙한 우리에게 큰 충격으로 다가온다.

미 국방부뿐만이 아니다. 아이폰 등을 개발한 애플은 지난 8월 20만 달러(약 2억2000만원) 규모의 버그바운티를 신설했다. 페이스북 등도 정기적으로 버그바운티를 개최한다. 보안에 내로라하는 국가와 기업들이 외부 공격을 감안하면서도 버그바운티를 주도하는 이유는 무엇일까.
답은 간단하다. ‘완전무결한 보안’은 불가능하다는 것을 인정하기 때문이다. 내부에서 최선을 다해 만든 보안제품이라도 취약한 부분이 있을 수밖에 없다는 것이다. 게다가 유능한 해커를 고용하지 않고도 그들의 역량을 적극 활용해 효율적으로 취약점을 보완할 수도 있다.

버그바운티만의 장점도 있다. 이는 언더그라운드 해커들이 양지에서 자신의 기량을 활용하고 경제적인 활동이 가능하도록 하는 유용한 방법이다. 실제로 지금 이 순간에도 국가적 피해 등을 목표로 하는 악의적 해커들이 신규 보안제품의 취약점을 거래하고 있다. 보안업체 트러스트웨이브(Trustwave)는 지난 6월 “보안 암시장을 조사한 결과, 윈도우 제로데이의 취약점이 9만 달러(약 1억원)에 거래되고 있다”고 밝혔다.

그렇다면 이런 버그바운티를 국내 기업은 얼마나 활용하고 있을까. 아직도 상당수 민간기업은 화이트 해커가 자사 제품 취약점을 신고하면 부정적이거나 반감을 드러낸다. 이로 인해 기업 이미지가 손상될 것을 우려하는 곳도 많다. 버그바운티의 필요성을 제대로 인식하지 못하고 있는 탓에 취약점 대응에도 소극적인 모습을 보이고 있는 것이다. 한국인터넷진흥원(KISA)이 버그바운티 인식 전환 및 활성화를 위해 ‘소프트웨어(SW) 신규 취약점 신고포상제’를 운영하는 이유가 여기에 있다.

‘SW 신규 취약점 신고포상제’란 시중에서 판매 중인 SW의 취약점을 신고 받아 해당 기업에 패치 개발 등 보완 조치를 요청하고, 신고자에게는 포상을 하는 제도다. 현재 한글과컴퓨터, 카카오, 네이버, 네오위즈게임즈 등 민간 기업이 공동운영사로 참여하고 있다. 이를 통해 KISA는 해킹사고를 예방할 수 있을 뿐만 아니라 기업 스스로 보안 프로세스를 정립할 수 있는 계기를 마련할 수 있을 것으로 기대하고 있다.

효과도 입증되고 있다. 공동운영사 중 한곳인 한글과컴퓨터의 경우, SW 취약점이 꾸준히 감소해 올해 3분기엔 신고된 취약점이 아예 없는 것으로 나타났다. 버그바운티를 효과적으로 활용한 일례라고 할 수 있다.

“완전한 보안은 없다. 완전한 보안을 위해 노력하는 것이 유일한 방법이다”는 인식이 확산될 때 버그바운티는 전사회적인 트렌드가 될 것이다. 그 첫걸음은 국내 기업이 버그바운티의 효과와 필요성을 인지하고 자발적으로 대응하는 것이다. 이를 기반으로 전사회적인 공감대와 협력관계가 형성되면 기업과 화이트해커간 소통도 활성화할 것이다. 버그바운티가 그 무엇보다 중요한 이유다.
전길수 한국인터넷진흥원 사이버침해대응본부장│ 더스쿠프

<저작권자 © 더 스쿠프(The Scoop) 무단전재 및 재배포금지>

[관련기사]

전길수 한국인터넷진흥원 사이버침해대응본부장의 다른기사 보기  
?
폰트키우기 폰트줄이기 프린트하기 메일보내기 신고하기
트위터 페이스북 미투데이 요즘 네이버 구글 msn 뒤로가기 위로가기
이 기사에 대한 댓글 이야기 (0)
자동등록방지용 코드를 입력하세요!   
확인
- 200자까지 쓰실 수 있습니다. (현재 0 byte / 최대 400byte)
- 욕설등 인신공격성 글은 삭제 합니다. [운영원칙]
이 기사에 대한 댓글 이야기 (0)
많이 본 기사
1
[Infographic] 그날 먼 하늘에는 리본이 새겨졌다
2
실컷 띄워났더니 이제 나가라하네
3
해양사업 꿈틀… 봄바람은 불었다
4
불법과 탈세 사이 ‘특수고용직’ 있었다
5
뻔하거나 지겹거나, ‘장미 대선’ 우려된다
6
“우리가 공범이면 국세청도 공범”
7
“전세 레버리지 투자 괜찮다”
Current Economy
어! 할인이 아니었네, 가짜 쿠폰의 ‘역습’
어! 할인이 아니었네, 가짜 쿠폰의 ‘역습’
오르면 ‘우는 소리’ 내려가면 ‘시치미’
오르면 ‘우는 소리’ 내려가면 ‘시치미’
단물 쏙 빼먹고 꼬리 자르면 ‘끝’
단물 쏙 빼먹고 꼬리 자르면 ‘끝’
아시아나항공, 돈 없는 계열사 동원해 500억원 베팅했나
아시아나항공, 돈 없는 계열사 동원해 500억원 베팅했나
자영업자 돕겠다더니 밴사만 ‘희희낙락’
자영업자 돕겠다더니 밴사만 ‘희희낙락’
회사소개만드는 사람들기사제보광고문의불편신고개인정보취급방침청소년보호정책이메일무단수집거부
서울시 영등포구 경인로 775  에이스하이테크시티 2동 17층 1704호  |  대표전화 : 02)2285-6101  |  팩스 : 02)2285-6102
정기간행물ㆍ등록번호 : 서울 아 02110 / 서울 다 10587  |  발행인·대표이사 : 이남석  |  편집인 : 윤영걸  |  청소년보호책임자 : 배석강
Copyright © 2011 더스쿠프. All rights reserved. mail to webmaster@thescoop.co.kr