KISA의 ICT & Talk

▲ ‘안전한 보안은 없다’는 경계심을 갖는 게 무엇보다 중요하다. [사진=아이클릭아트]
이 세상에 완전무결한 보완은 없다. 세계 각국과 글로벌 기업들이 ‘버그바운티’에 심혈을 기울이는 이유다. 버그바운티는 쉽게 말해 화이트해커에게 보안제품의 취약성을 찾게 하는 제도인데, 효과가 상당한 것으로 입증되고 있다. 문제는 우리 기업들이 버그바운티에 소극적이라는 점이다.

올해 4~5월 미국 국방부는 화이트 해커를 대상으로 펜타곤의 보안 취약점을 찾는 ‘버그바운티(Bug Bounty)’를 진행했다. 버그바운티란 해커가 보안 제품의 취약점을 찾아 신고하면 기업ㆍ기관이 이를 보완하고 신고자에 포상금 등을 지급하는 제도다. 미국 국방부가 공개적으로 보안 취약점을 찾도록 오픈하고 보완하는 모습은 ‘보안을 감추거나 포장하는 데’ 익숙한 우리에게 큰 충격으로 다가온다.

미 국방부뿐만이 아니다. 아이폰 등을 개발한 애플은 지난 8월 20만 달러(약 2억2000만원) 규모의 버그바운티를 신설했다. 페이스북 등도 정기적으로 버그바운티를 개최한다. 보안에 내로라하는 국가와 기업들이 외부 공격을 감안하면서도 버그바운티를 주도하는 이유는 무엇일까.
답은 간단하다. ‘완전무결한 보안’은 불가능하다는 것을 인정하기 때문이다. 내부에서 최선을 다해 만든 보안제품이라도 취약한 부분이 있을 수밖에 없다는 것이다. 게다가 유능한 해커를 고용하지 않고도 그들의 역량을 적극 활용해 효율적으로 취약점을 보완할 수도 있다.

버그바운티만의 장점도 있다. 이는 언더그라운드 해커들이 양지에서 자신의 기량을 활용하고 경제적인 활동이 가능하도록 하는 유용한 방법이다. 실제로 지금 이 순간에도 국가적 피해 등을 목표로 하는 악의적 해커들이 신규 보안제품의 취약점을 거래하고 있다. 보안업체 트러스트웨이브(Trustwave)는 지난 6월 “보안 암시장을 조사한 결과, 윈도우 제로데이의 취약점이 9만 달러(약 1억원)에 거래되고 있다”고 밝혔다.

그렇다면 이런 버그바운티를 국내 기업은 얼마나 활용하고 있을까. 아직도 상당수 민간기업은 화이트 해커가 자사 제품 취약점을 신고하면 부정적이거나 반감을 드러낸다. 이로 인해 기업 이미지가 손상될 것을 우려하는 곳도 많다. 버그바운티의 필요성을 제대로 인식하지 못하고 있는 탓에 취약점 대응에도 소극적인 모습을 보이고 있는 것이다. 한국인터넷진흥원(KISA)이 버그바운티 인식 전환 및 활성화를 위해 ‘소프트웨어(SW) 신규 취약점 신고포상제’를 운영하는 이유가 여기에 있다.

‘SW 신규 취약점 신고포상제’란 시중에서 판매 중인 SW의 취약점을 신고 받아 해당 기업에 패치 개발 등 보완 조치를 요청하고, 신고자에게는 포상을 하는 제도다. 현재 한글과컴퓨터, 카카오, 네이버, 네오위즈게임즈 등 민간 기업이 공동운영사로 참여하고 있다. 이를 통해 KISA는 해킹사고를 예방할 수 있을 뿐만 아니라 기업 스스로 보안 프로세스를 정립할 수 있는 계기를 마련할 수 있을 것으로 기대하고 있다.

효과도 입증되고 있다. 공동운영사 중 한곳인 한글과컴퓨터의 경우, SW 취약점이 꾸준히 감소해 올해 3분기엔 신고된 취약점이 아예 없는 것으로 나타났다. 버그바운티를 효과적으로 활용한 일례라고 할 수 있다.

“완전한 보안은 없다. 완전한 보안을 위해 노력하는 것이 유일한 방법이다”는 인식이 확산될 때 버그바운티는 전사회적인 트렌드가 될 것이다. 그 첫걸음은 국내 기업이 버그바운티의 효과와 필요성을 인지하고 자발적으로 대응하는 것이다. 이를 기반으로 전사회적인 공감대와 협력관계가 형성되면 기업과 화이트해커간 소통도 활성화할 것이다. 버그바운티가 그 무엇보다 중요한 이유다.
전길수 한국인터넷진흥원 사이버침해대응본부장│ 더스쿠프

저작권자 © 더스쿠프 무단전재 및 재배포 금지

개의 댓글

0 / 400
댓글 정렬
BEST댓글
BEST 댓글 답글과 추천수를 합산하여 자동으로 노출됩니다.
댓글삭제
삭제한 댓글은 다시 복구할 수 없습니다.
그래도 삭제하시겠습니까?
댓글수정
댓글 수정은 작성 후 1분내에만 가능합니다.
/ 400

내 댓글 모음