"보안취약점 신고포상제는 국내 화이트해커의 선의의 활동을 장려하면서 기업의 보안수준도 높여 건전한 보안생태계를 만들 기회다. 기업의 적극적인 참여가 필요하다. 미온적인 기업 경영진을 설득하는 게 숙제다. 참여 중인 기업의 보안취약점 수용 분야가 소프트웨어(SW) 솔루션에 쏠려 있다는 점, 현행법상 웹서비스 쪽 보안취약점 발굴활동이 엄격하고 광범위하게 금지돼 있는 점도 해결돼야 한다."
최근 한국인터넷진흥원(KISA) 이동근 침해사고분석단장이 국내 사이버보안 업계 버그바운티(Bug Bounty)라 할 수 있는 '보안취약점 신고포상제'가 활성화돼야 한다며 이같이 말했다. 이미 신고포상제가 운영되고 있는 SW제품 영역뿐아니라, 현행법상 기본적으로 금지돼 있는 온라인서비스 영역에서도, 기업들의 자발적인 참여를 통해 외부 보안전문가의 보안취약점을 발굴하는 모델이 필요하다는 견해다.
■글로벌 IT거인들, 화이트해커 통해 SW제품 및 서비스 보안취약점 적극 대응
버그바운티는 기업이 운영하는 SW제품이나 홈페이지같은 서비스에서 보안취약점을 발견한 화이트해커에게 포상금을 지급하는 제도다. 기업은 이를 통해 미처 자체 파악하지 못한 취약점을 메워 보안위협에 대응할 수 있고, 화이트해커는 포상금을 통한 금전적 이득뿐아니라 개인 역량을 발전시키고 산업계에서 인지도를 높일 수 있는 기회를 얻을 수 있다.
이 단장에 따르면 해외 주요 기업은 버그바운티를 통해 자사 제품과 서비스 취약점을 찾고 해결해 왔다. 구글은 2013년 10월, 마이크로소프트는 2013년 11월, 애플은 2016년 9월부터 SW취약점 신고자에게 포상을 지급해 왔다. 페이스북은 2011년, 깃허브는 2013년 6월부터 온라인서비스 대상으로 버그바운티를 운영해 왔다. 자체 도입이 어려운 곳은 '해커원'이나 '버그크라우드'같은 플랫폼에 운영을 맡기기도 한다.
■ 보안취약점 신고포상제, KISA는 플랫폼 제공-기업은 보상금 지급
국내 보안취약점 신고포상제는 KISA가 공동운영사와 함께 운영 중이다. KISA가 지난 2006년부터 창구를 만들고 신고 받은 SW제품의 보안취약점을 해당 기업에 전달한 게 시작이었다. 당시엔 신고에 상응하는 포상 없이 대상 기업의 패치나 업데이트 배포 등 후속조치를 이끌어내는 과정만 있었다. 그러다 2012년 10월부터는 정부 지원 예산으로 포상금을 통해 보안취약점 발견에 따른 금전적 보상이 가능해졌다.
이 단장은 "당초 영세기업 SW취약점 대응이 목적이었는데 하다 보니 대기업의 SW까지 다루게 됐다"면서 "엄밀히 말해 SW제품의 취약점 해결은 그 제품을 만들고 파는 기업의 책임인데, 취약점 제보받아 확인하는 것을 KISA가 대행하고 포상금을 정부 예산만으로 지급하는 방식이 문제로 대두됐다"고 설명했다. 이어 "KISA가 플랫폼을 제공하고 기업이 보상금을 지급하는 공동운영으로 전환했다"고 설명했다.
KISA 신고포상제는 SW 최신버전에 영향을 줄 수 있는 신규 취약점의 출현 빈도와 실제 파급력, 영향력을 평가한다. 점수에 따라 포상금 액수가 높아진다. 올해부터 건별 최고 상금이 1천만원이다. 연 4회, 분기별 1회 포상이 집행되지만 침해사고나 악용이 잦은 SW 대상으로 별도 포상 이벤트도 진행된다. 다만 이미 외부에 정보가 공개된 취약점, 다른 신고포상제에서 포상이 이뤄진 취약점은 포상 대상에서 제외된다.
■ 한국에선 KISA-민간 공동운영사 14곳 참여로 SW제품 보안취약점 위주 대응
현재 KISA 보안취약점 신고포상제 공동운영사는 14곳이다. 2014년 2분기 한글과컴퓨터를 시작으로 2015년 2분기 네이버, 2016년 1분기 카카오와 3분기 네오위즈게임즈가 참여했다. 2017년 1분기 이스트시큐리티, 2분기 이니텍, 3분기 잉카인터넷과 LG전자, 4분기 지니언스, 카카오뱅크, 안랩이 가세했다. 2018년 1분기 하우리, 3분기 엑스블록시스템즈와 블록체인OS도 공동운영사 명단에 이름을 올렸다.
이 단장은 "블록체인 기술에 관심이 높아지면서 최근 관련기업도 신고포상제 공동운영사로 합류했고, 이들과 함께 제도의 긍정적인 측면을 알리고 참여를 유도하고 있다"면서 "글로벌 대기업인 삼성전자는 구글같은 회사와 마찬가지로 2012년부터 자체 버그바운티 프로그램을 운영해, 스마트TV 분야와 모바일 분야 SW취약점 신고를 받고 포상금을 지급해 왔다"고 설명했다.
이어 "한글과컴퓨터는 회사 SW제품을 국내 공공기관 등에서 많이 쓰다보니 과거 해커의 침입 경로로 많이 쓰이면서, 한컴 경영진이 보안 관점의 SW개발방법론과 함께 신고포상제도에 관심을 갖고 KISA 신고포상제 공동운영사로 처음부터 참여했다"며 "덕분에 한컴 SW제품 대상 취약점 신고건수는 2014년 이후 많이 줄었고, 신고포상제 공동운영 참여가 SW제품 보안수준을 높일 기회임을 보여 준다"고 말했다.
■ "보안취약점 신고포상제 공동운영사 참여 확대 필요…서비스 보안수준도 강화돼야"
그는 국내 민간기업들이 보안취약점 신고포상제의 긍정적 효과를 인식하고 더 많은 SW개발업체가 공동운영사로 참여하길 기대 중이다. 또 참여 기업의 신고포상 분야가 SW제품 영역을 넘어 해외처럼 온라인 홈페이지, 웹서비스 등 기업 ICT인프라 영역으로도 확대돼야 한다고 본다. 신고포상제 공동운영사 14곳 가운데 온라인서비스 보안취약점 조사를 허용하고 제보받는 기업은 아직 단 1곳, 네이버 뿐이다.
이 단장은 "지난 수년간 통신사, 온라인커뮤니티, 숙박중개업체에서 대규모 개인정보유출이 있었고, 현재도 콘텐츠 위변조 사고는 지속발생하고 있어, 포상제를 통해 홈페이지를 포함한 기업 ICT서비스 보안수준을 제고할 필요가 있다"면서 "하지만 정보통신망법 제48조 금지조항으로 운영중인 웹서비스 대상 취약점 발굴 활동 자체가 불법으로 간주될 수 있는 문제가 해결돼야 한다"고 지적했다.
관련기사
- "블록체인 공공 시범사업 내년 12개로 확대...예산도 100억 이상 투입"2018.09.05
- "KISA 해킹대회, '뚫으려면 뚫어 봐' 아니다"2018.09.05
- 한국SW 보안취약점, 전세계서 알아본다2018.09.05
- 하우리, SW 신규취약점 신고포상제 운영 참여2018.09.05
그는 기업과 기관 등 ICT인프라 운영주체가 직접 참여하는 온라인서비스 취약점 발굴 모델을 해법으로 제시했다. 2016년 4월 미국 국방부 산하 홈페이지 5곳의 취약점을 찾는 대회로 진행된 '핵 더 펜타곤'을 예로 들었다. 올해 4분기 핵 더 펜타곤을 벤치마킹한 모의해킹대회 '핵 더 키사(Hack the KISA)'를 개최하고, 대회 운영으로 확보한 서비스 취약점 발굴 모델을 국내 기업에 확산시킬 계획이다.
이 단장은 "핵 더 키사는 현행 신고포상제가 SW제품과 솔루션에 한정된 상황을 극복하고 서비스 취약점 발굴 모델을 확산하기 위한 KISA의 시범사업"이라며 "취약점 발굴이 필요한 서비스를 선정해 일정기간내 신고를 허용하는 방식으로, 기업 부담과 법적 논란을 최소화할 수 있는 기업 참여형 서비스취약점 발굴을 독려해 기업들이 온라인서비스의 보안수준을 자발적으로 향상하도록 유도하려 한다"고 덧붙였다.