[기자수첩]늘어나는 보안위협과 버그바운티

보안취약점 신고 보상제 적극 활성화 필요


[아이뉴스24 최은정 기자] IT보안 독립 연구소 '백신-테스트(AV-TEST)'는 매일 평균 35만개 이상의 새로운 악성 프로그램 및 애플리케이션을 분석·등록하고 있다.

전세계 보안제품 성능을 평가하는 기관이기도 한 AV-TEST는 국내 안랩부터 시만텍, 카스퍼스키랩 등 해외 보안기업 제품이 인증을 거친 기관이기도 하다.

이 기관에 따르면 지난달에만 1천676만개 멀웨어가 새로 발견됐다. 이는 지난해 같은 기간 933만개 대비 약 79.6% 증가한 수치다.

이처럼 악성코드 공격 등 보안 위협은 하루가 다르게 늘어나고 있다. 기업·기관이 일일이 확인해 차단하기는 사실상 불가능한 셈이다.

이때 일종의 집단지성을 활용하면 일이 한결 쉬워질 수 있다. 가령 일반 사용자부터 화이트 해커 등을 대상으로 하는 보안 취약점 신고포상제 '버그바운티(bug bounty)'도 그 방법 중 하나다. 이들이 제품·서비스 취약점을 신고하면 기업·기관은 선제 조치할 수 있다.

실제로 최근 이 제도는 기업·기관 보안성을 높일 수 있는 방안으로 주목받고 있다. 특히 구글, 마이크로소프트(MS), 페이스북 등 글로벌 IT기업은 매년 현상금을 높여가며 버그바운티 프로그램을 적극 활용하고 있다.

구글의 경우 2010년부터 2천100만달러(한화 약 255억450만원) 이상 금액을 신고 포상금으로 쏟아붓고 있다. 취약점, 패치, 크롬, 안드로이드, 구글 플레이 등 제품·서비스 별로 구분해 진행하며, 지난해에만 화이트 해커, 연구원 등 461명이 버그바운티를 통해 보상 받았다.

해외 기업들이 버그바운티 활용에 적극적인 반면 국내는 공공기관을 중심으로 한 신고 포상제에 그치고 있다는 점은 아쉬운 대목이다. 실제로 기업 개별로 운영중인 프로그램은 거의 전무한 상황. 그나마 포털 네이버가 웹사이트, 애플리케이션 등 서비스 관련 자체 취약점 신고 포상제를 상시 운영하는 정도다.

기업이 관련 투자 필요성을 느끼지 못하는 게 가장 큰 원인으로 꼽힌다. 한국인터넷진흥원(KISA)은 17개 공동운영사와 보안 취약점 포상제를 운영하는 등 버그바운티 기업 확산에 애쓰고 있지만 포상금 규모 등이 적어 크게 주목받지 못하는 분위기다.

무엇보다 취약점 신고에 대한 포상금 지급 등을 비용으로 보는 기업 인식이 여전히 걸림돌이다. 그러나 보안 취약점을 방치했을 경우 이로 인해 발생하는 사고 대응 비용은 눈덩이처럼 커질 수 있다. 기업 성장에도 악영향을 미칠 수 있다. 기업 스스로가 취약점 신고제가 비용이 아닌 투자라는 인식 전환 등이 필요한 때다.

최은정기자 ejc@inews24.com

관련기사


포토뉴스