정부가 사물인터넷(IoT) 분야에서도 언제 어떤 방식으로 등장할지 모르는 보안취약점에 대한 '취약점 신고포상제(버그바운티)'를 운영한다는 방침을 밝혔다. 그러나 IoT 산업을 이끌어야 할 주요 기업들이 적극적으로 참여하지 않는 한 큰 효과를 거두기는 어려울 것으로 전망된다.
19일 서울 서초구 팔래스호텔에서 개최된 '사물인터넷 보안 얼라이언스' 발대식 및 정책 간담회에서 고려대 정보보호대학원 김승주 교수는 "IoT를 통해 모든 것이 인터넷으로 연결되기 시작하면서 보안문제를 해결하기 위해 집단지성을 활용하는 조치가 굉장히 중요하다고 생각한다"며 "글로벌 기업들이 큰 포상금을 내걸고 화이트해커들을 불러모으는 것과 달리 국내서는 기업들이 해커들의 접촉 자체를 꺼리고 있다"고 지적했다.
현재 우리나라에서는 한국인터넷진흥원(KISA)이 한컴 오피스 등 주요 프로그램과 무선 인터넷 공유기, 각종 웹취약점에 대한 버그바운티 제도를 운영 중이다. 그러나 현실적으로 국내 포상금 규모는 최대 500만원 수준에 그치고 있다.
올해 초 HP제로데이이니셔티브(ZDI)가 주최, 구글 프로젝트 제로가 후원하는 세계최대 버그바운티 대회인 폰투오운(Pwn2Own)에서 라온시큐어 화이트햇 센터 소속 이정훈 연구원이 개인자격으로 참가, 약 2억5천만원의 상금을 거머쥔 것과는 대조적이다.
이와 관련 미래창조과학부 정한근 정보보호 정책관은 "현재 국내서 운영 중인 버그바운티는 정부예산이 들어가는 만큼 상금 규모를 키우기는 어렵고, 취약점이 발견되는 주요 기업들의 적극적인 참여가 필요하다"고 밝혔다.
현실적인 어려움이 있는 만큼 화이트해커들에게 일종의 명예를 부여하는 것도 한 가지 방법이다.
김 교수는 "상금 대신 주요 취약점을 발견한 화이트해커들에게 정보보호의 날 표창과 같은 명예를 주는 방안도 고려해 볼 수 있을 것"이라고 밝혔다. 이러한 의견에 정 정책관은 "다음 포상에는 반영하도록 노력할 것"이라고 답했다.
국내서 기업들이 아예 버그바운티에 대한 지원을 하지 않고 있는 것은 아니다.
관련기사
- MS "스파르탄 브라우저 해킹해봐라"2015.06.19
- KISA, 공유기 취약점 신고포상제 실시2015.06.19
- 세계보안대회서 2억원대 상금 탄 韓人 화제2015.06.19
- 양지로 나온 보안취약점, 거래 활발2015.06.19
삼성전자는 자사 스마트TV와 관련한 취약점이 발견되면 해당 내용을 검증한 뒤에 신고자에게 포상하고 있다. 한컴의 경우 지난해부터 한컴오피스에서 발견된 취약점에 대해 KISA로부터 객관적인 검증을 거쳐 포상금을 지급하는 중이다.
KISA 취약점점검팀 박정환 팀장은 "현재는 소프트웨어에서 발견된 취약점에 대해서만 포상제를 실시하고 있다"며 "이후 규모가 되는 기업들과 함께 협력할 수 있는 방안에 대해 검토 중"이라고 밝혔다.