한국인터넷진흥원(KISA)이 운영하는 소프트웨어(SW) 보안 취약점 신고포상제도가 제 역할을 하지 못한다는 지적이 제기됐다. 포상금 상위 10개 업체 중 3곳에서 최근 악성코드 유포나 개인정보 유출 등 사고가 발생한 것으로 나타났다.
과학기술정보방송통신위원회 소속 변재일 더불어민주당 의원이 KISA로부터 제출받은 'SW보안 취약점 신고 포상제 현황‘에 따르면 2013년부터 올해 3분기까지 5년간 KISA가 지급한 포상금은 1천123건에 대해 총8억2천만원 수준이다.
특히 같은 기간 포상금 지급액 최다 10개사를 확인한 결과, 포상금 1위인 A업체는 전체 포상금의 약 10% 수준인 9천만원 가량을 받았다. 또 상위 10개 업체에 지원된 포상금은 2억 6천여만원으로, 총 포상금의 30%에 달했다.
이처럼 상위 10개 업체의 소프트웨어 보안 취약점 개선을 위해 지난 5년 동안 수억원의 예산이 지원되었음에도 불구하고, 해당 기간 내에 10개 중 3개 업체에서는 악성코드 유포·개인정보 침해사고까지 발생한 것으로 드러났다.
관련기사
- "KISA 보안인증 유명무실…北해킹설 남발 문제"2017.10.17
- "윈도 보안 취약점, 관리자 권한 막으면 대부분 해결"2017.10.17
- "SW취약점 신고 포상제, 민간 기업 참여 늘리겠다"2017.10.17
- 전병헌 "보안 취약점 신고 포상제 적극 도입해야"2017.10.17
특히 포상금 최다지원을 받은 A업체는 2015년 악성코드 유포 사고가 발생했고, D업체와 E업체는 개인정보 유출 사고가 발생했다.
변재일 의원은 “국민의 혈세를 들여 민간 보안의 취약점을 확인해주고 있지만, 국민에게 민간 업체의 목록조차 공개되지 않고 있는 만큼 제도 전반에 대한 재검토가 필요하다”고 지적했다.
