[김국배기자] 국내에서는 보안 취약점을 찾아주면 포상하는 이른바 '버그 바운티(Bug bounty)'가 외면받고 있는 것으로 나타났다.
구글, 마이크로소프트(MS), 페이스북 등 외국 기업들이 공개적으로 취약점을 찾게 하고 이에 대해 '통큰' 보상을 하는 것과 대조적이다.
그나마 국내 기업들 가운데는 삼성전자가 스마트TV와 관련 버그 바운티를 운영하고 있는 것으로 나타났다. 여기에 네이버, 한글과컴퓨터가 한국인터넷진흥원(KISA)과 공동으로 버그바운티를 운영하는 정도에 그치고 있다.
◆국내는 이제 시작
KISA는 지난 2012년부터 해외 기업들의 버그 바운티를 모델로 삼아 분기별로 '취약점 신고 포상제'를 운영해왔다. 기업이 아닌 공공기관이 이런 제도를 운영하는 것은 세계적으로 매우 이례적이다.
기업 중에는 한컴과 네이버가 각각 지난해 2분기와 올 2분기부터 KISA와 함께 공동 운영을 시작해 눈길을 끈다.
먼저 시작한 한컴의 경우 작년 2분기부터 올 3분기까지 총 24건의 취약점을 제보 받아 이중 18건에 대해 약 2천560만원을 포상했다. 한컴 관계자는 "접수된 모든 건에 대해 100% 보안 패치가 시행됐다"고 말했다.
네이버는 우선은 소프트웨어이나 애플리케이션(App)을 대상으로 한정해 버그 바운티를 운영하는 것으로 알려졌다. KISA 박정환 취약점분석팀장은 "차츰 늘려갈 계획이나 우선은 제로보드 같은 SW를 대상으로 버그 바운티를 운영중"이라고 설명했다.
업계에 따르면 삼성전자는 유일하게 자율적으로 버그 바운티를 운영하고 있으나 스마트TV에 한정돼 있는 것으로 알려진다.
KISA는 향후 버그 바운티 확산에 본격적으로 나설 계획이라고 말한다. 박 팀장은 "버그 바운티가 한국 시장에도 형성될 필요가 있다고 보고 여러 기업들과 접촉해 설득해 나가는 중"이라고 말했다.
◆버그 바운티, 왜 꺼릴까…효과는
현재 국내 기업들의 정서는 상대적으로 버그 바운티에 소극적인 편이다. 버그 바운티를 마치 약점을 만천하에 드러내는 것처럼 인식하고 있기 때문이다.
버그 바운티는 해킹 통로로 악용될 수 있는 보안 취약점을 찾아 예방하는 것이지만 취약점이 많이 발견되면 부정적인 이미지로 비춰질 것을 우려한다. 실효성에 대한 의구심과 버그 바운티를 할 경우 관심이 집중되는 데 부담감을 느끼는 면도 없지 않다.
김용대 카이스트 전기 및 전자공학과 교수는 "버그 바운티를 시작하면 사람들이 눈에 불을 켜고 취약점을 찾을텐데 굉장히 많은 회사들이 이런 관심을 받는 것을 무서워한다"며 "취약점 점검을 맡기면 되지 굳이 공개할 필요가 있나 하는 생각하는 편"이라고 말했다.
김용대 교수는 이어 "어느 한 명이 제보한 취약점이라도 패치가 이뤄지기 전까지 다른 누군가 똑같은 취약점을 알려오면 또 돈을 줘야 하기 때문에 패치를 빨리 해야 하는데 그럴만큼 인력이 많지 않은 것도 문제"라고 지적했다.
하지만 버그 바운티는 상당히 효과적인 방법으로 통한다. 실제로 한컴의 경우에도 버그 바운티를 시행한 기간 발견된 총 29건의 취약점 가운데 24건이 제보를 받아 알게 됐다. 보통 패치는 두세 건의 취약점을 묶어 이뤄지기도 해서 취약점 건수가 패치 배포 횟수는 아니다.
라인의 경우에도 지난 8월 한달간 메신저 서비스에 대한 버그 바운티를 진행해 효과를 본 것으로 업계에 알려지고 있다.
업계 관계자는 "버그 바운티를 통해 적은 돈으로 큰 취약점을 찾기도 한다"며 "버그 바운티를 통한 포상금을 다 합쳐도 전문 기업에 취약점을 맡긴 것보다 더 저렴한 경우도 있어 활성화하는 것이 더 긍정적이다"고 말했다.
김국배기자 vermeer@inews24.com
--comment--
첫 번째 댓글을 작성해 보세요.
댓글 바로가기