국내서 한국인터넷진흥원(KISA)이 취약점 신고 포상제(버그바운티)를 운영하고 있지만 지금보다 포상금 규모를 키우고, 많은 기업들의 적극적인 참여를 유도할 필요가 있다는 주장이 나왔다.
국회 미래창조과학방송통신위원회 소속 전병헌 의원(새정치민주연합)은 국정감 정책제언집에서 "KISA가 취약점 신고 포상제를 운영하며 자체적으로 소프트웨어 신규 보안 취약점에 대해 관리하며 일정한 성과를 거두고는 있지만 아직 포상금 규모가 최소 30만원~최대 500만원 수준에 머물고 있고, 공동운영사가 한글과컴퓨터, 네이버 등 2개사에 불과해 보다 적극적인 운영이 필요하다"고 8일 밝혔다.
글로벌 IT기업인 마이크로소프트, 구글, 페이스북 등이 이미 버그바운티 제도를 통해 제보받은 자사 취약점에 대한 보안업데이트를 통해 문제를 보완하고 있으며, 누적 보상금 지급 규모도 수십억원에 달하는 것으로 알려졌다.
국내서는 KISA 외에 삼성전자만 스마트TV에 대한 버그바운티를 자체적으로 운영하고 있는 상황이라 보다 적극적인 참여가 필요하다는 지적이다.
관련기사
- 위험한 취약점 찾아라..버그잡기대회 'CTB' 주목2015.10.08
- "IoT 취약점포상제, 기업 참여 필요성 커"2015.10.08
- MS "스파르탄 브라우저 해킹해봐라"2015.10.08
- 세계보안대회서 2억원대 상금 탄 韓人 화제2015.10.08
전 의원은 "크고 작은 개인정보 유출사건이 발생해도 공격자의 책임으로만 돌릴 뿐 보안조치를 제대로 하지 못한 기업에 책임을 묻지 않는 상황에서 어느 기업이 막대한 돈을 들여 보안에 투자하겠냐"며 "버그바운티는 회사 내부인력으로만 해결하기 어려운 보안문제를 집단지성의 힘을 빌어 해결할 수 있는 창조적인 인재활용제도인 만큼 적극적으로 활용해야한다"고 말했다.
KISA에 따르면 2012년부터 시작된 취약점 신고 포상제를 통한 포상건수는 14건에서 올해 6월 현재 96건으로 늘어났으며 포상금 또한 1천970만원에 그치던 것에서 8천110만원으로 늘어났다. 2014년부터 공동운영사로 참여하기 시작한 한컴, 네이버 등이 지원하는 포상금액을 포함하면 지난해 전체 포상금액은 1억6천430만원, 올해 6월까지 집계한 금액은 9천60만원이다.