소프트웨어에서 발견된 보안취약점을 해당 기업에게 알려주는 일은 약일까, 독일까.
마이크로소프트나 구글 등 글로벌 기업들이 취약점에 대해 제보한 보안전문가 혹은 해커들에게 포상하고, 해당 취약점에 대한 발빠른 보안업데이트로 대응하는 것을 보면 약인듯 싶다가도 오히려 포상제를 운영하면서 괜히 긁어 부스럼 만드는 것은 아닌가 하는 우려가 공존한다.
국내서는 한국인터넷진흥원(KISA)이 소프트웨어(SW)에 대해 아직 발견된 적 없는 신규 보안 취약점을 신고 받아 이를 평가한 뒤 포상하는 'SW 보안취약점 신고 포상제'를 2012년 10월부터 운영 중이다. 해외에서는 버그바운티라 불리는 제도다. 3년 간 운영돼 온 이 제도는 최근 들어 국내 기업들이 취약점 신고에 대한 부정적인 인식을 바꾸고 있다는 점에서 일정한 성과를 거둔 것으로 평가된다. 이와 함께 여전히 기업 보안 담당 임원이나 경영진들이 여전히 KISA를 통한 혹은 자체적인 포상제 도입을 주저하고 있다는 점은 해결해야할 과제로 남아있다.
MS, 구글 등 글로벌 기업들이 주도하고 있는 것과 달리 우리나라에서는 정부 산하 기관이 직접 이러한 제도를 운영하고 있다는 점이 다르다. 아직은 자사에서 개발한 SW에 대한 취약점을 공개적으로 제보받는 문화에 익숙치 않은 탓이 크다.
그러나 제도를 운영하는 3년 동안 국내 기업들의 인식도 많이 달라졌다. 수많은 해킹사고를 접하면서 대형사고를 당하기 전에 필요한 보안조치를 취해야한다는 취지에 공감하는 기업들이 늘고 있기 때문이다.
현재까지 이 제도를 통해 제보받은 취약점은 797건에 달하며, 이중 절반이 넘는 495건에 대해 포상금이 지급됐다. 이전까지 보안업데이트가 이뤄지지 않았었던 제로데이 취약점들이 그만큼 많았었다는 뜻이다.
이 제도의 취지에 공감한 한글과컴퓨터, 네이버는 현재 자사 SW에서 중요한 취약점이 발견될 경우 이에 대한 포상금을 지급하고 있다. 내년에는 카카오도 참여한다는 계획을 갖고 있는 것으로 알려졌다. 이전까지 기업의 규모에 관계없이 KISA가 자체적으로 포상금을 지급했었던 것과는 달라진 모습이다.
SW 보안취약점 신고포상제를 운영하고 있는 KISA 취약점점검팀 박정환 팀장은 "여러 기업의 보안담당 실무자들이 취지에 공감하고 있지만 최고보안책임자(CSO) 등 경영진에서는 아직 예산을 얼마나 책정하고, 취약점 포상제 대상을 어디까지 해야할 지, 문제가 될 수 있는 부분은 없는지 등에 대한 우려 때문에 선뜻 제도를 도입하겠다는 결정을 내리지 못하고 있는 경우가 많다"고 밝혔다.
때문에 KISA는 주무부처인 미래창조과학부와 함께 내년부터는 보다 많은 기업들이 자율적으로 참여할 수 있도록 여러가지 혜택을 주는 등 방안을 마련한다는 계획이다.
KISA에 신고된 취약점은 현재 1차적인 내부평가를 거쳐 보안업계, 화이트해커, 교수들로 이뤄진 평가단을 통해 2차 평가를 거쳐 포상여부가 결정된다. 포상이 이뤄진다고 하더라도 해당 취약점에 대한 내용은 공개되지 않으며, 해당 기업에 알려 자사 일정에 맞게 보안업데이트를 할 수 있도록 하고 있다. 현재 포상금은 30만원~500만원 규모다.
박 팀장은 "한컴이나 네이버가 제공하는 애플리케이션 외에도 백신 등을 포함한 보안프로그램, 기업 내부에서 쓰는 그룹웨어, 사물인터넷(IoT) 환경에 따른 각종 기기들에 대한 펌웨어 등으로부터 발견된 취약점에 대해 제보를 받고 있다"고 밝혔다.
관련기사
- KISA, IoT 취약점 신고포상제 운영2016.01.03
- 전병헌 "보안 취약점 신고 포상제 적극 도입해야"2016.01.03
- 위험한 취약점 찾아라..버그잡기대회 'CTB' 주목2016.01.03
- "IoT 취약점포상제, 기업 참여 필요성 커"2016.01.03
이어 그는 "중소영세기업의 경우 정부 차원에서 포상제에 대해 지원을 해주는 것이 맞지만 이보다 규모가 큰 기업들의 경우 자사 솔루션에 대한 사회적 책임을 다하기 위해서라도 보다 적극적인 참여가 필요하다고 본다"고 강조했다.
SW취약점 신고 포상제에 심사위원으로 참여하고 있는 이승진 그레이 해쉬 대표는 "정부가 아니라 기업들이 알아서 이러한 제도를 시작했었다면 더 좋았을 것이지만 현재 포상제가 어느 정도 효과를 거두고 있는 것은 맞다"며 "민간기업들이 반드시 KISA를 통해서만이 아니더라도 자발적으로 취약점 신고 포상제를 운영하는 것이 보안성을 높이는데 도움이 될 것"이라고 밝혔다.