"축구에 비유하면, 이제 한국에서도 수비수만이 아니라 공격수도 키워야지 않느냐는 취지가 있었다."
김석환 한국인터넷진흥원(KISA) 원장이 '공격자 관점에서의 정보보호 수준 검증'의 필요성을 강조했다. 국내 공공기관 최초 홈페이지 취약점 찾기 대회 '핵 더 키사(Hack the KISA)'를 치른 소회를 밝히면서다.
김 원장은 19일 KISA 서울청사에서 진행된 핵 더 키사 우수 신고자 시상식 축사를 진행하며, 기관 안팎의 우려스러운 분위기에도 대회 개최를 추진한 것에 3가지 의미가 있었다고 설명했다.
김 원장은 "핵 더 키사를 (개최)해보자고 처음 얘기한 게 작년 이맘때였는데 내외부로부터 많은 우려, 불안, 반발이 컸다"면서도 "그럼에도 이걸 한 것에 3가지 의미가 있었다"고 말했다.
![](https://image.zdnet.co.kr/2018/12/19/imc_uqJ9hfWsrCm5UC8n.jpg)
그는 첫째 취지로 "정보보호 담당하는 기관으로서 우리는 (정보보호 실무를) 제대로 하고있는가, 객관적으로 검증하고자 했다"며 "요즘 유행하는 용어로 '공격자 관점에서의 정보보호 수준 검증'이 필요하다 보고, 공공기관 최초로 하게 된 것"이라고 강조했다.
그는 "이제 축구와 비유하자면, 한국에서도 (정보보안 분야) 수비수만 키울 것이 아니라 공격수도 키워야하지 않느냐(는 생각이라)"며 "지난 국감때 한 의원이 '북한 해커 요원 몇 명인지 아느냐'는 질문에 '국방백서에 7천명정도로 적혀있는 걸로 안다'고 답했다"고 말했다.
이어 "다시 '우리는 얼마(나 있느)냐'고 해서 '통계로 집계한 바는 없다'고 했는데, 그 국회의원 말씀이 '업계에서 들어 보니 대략 400명, 탈탈 털면 한 500명 된다고 듣고있다'했는데, 여러분이 알다시피 이번 (핵 더 키사 대회 참가자로) 등록한 분이 정확하게 485명"이라고 지적했다.
김 원장은 "이런 인력을 양성할 필요가 있다"며 "향후 사이버세상에선 (발생하는 정보보안 관련 침해나 위협에) 여러 형태의 대응이 있을 수 있기 때문"이라고 덧붙였다. 즉 정보보안 인력들이 방어뿐아니라 공격관련 역량을 갖출 기회를 마련해야 한다는 게 둘째 취지다.
그는 마지막 셋째 취지로 외부 전문가를 통한 취약점 제거 활성화를 통한 서비스품질 향상을 꼽았다.
그는 "지금 (국내에서는) 단순히 소프트웨어(보안취약점)만 검증하고 있지만 서비스도 검증하고 이런 (버그바운티) 비즈니스모델 만들어져 산업화되고 국민이 체감할 수 있게 더 나은 품질의 서비스가 만들어져 수출, 산업생태계 조성도 됐으면 하는 욕심이 있다"고 덧붙였다.
KISA의 핵 더 키사는 국내서 활성화되지 않은 온라인서비스 취약점 발굴을 촉진하기 위해 추진됐다. 대규모 홈페이지에서 취약점 노출 사고가 많은만큼 그 파급도가 크지만, 이런 취약점을 발굴하는 화이트해커 활동은 국내 정보통신망법상 위법으로 간주돼 제약이 있었다.
즉 외부 일반인을 대상으로 기관 자체 홈페이지에서 취약점 발굴을 허용해, 국내서 SW와 달리 보안취약점 발굴이 자유롭지 않아 소극적일 수 있는 온라인 서비스의 취약점 발굴과 해결을 양성화한다는 아이디어였다.
대회는 과거 미국 국방부가 운영하는 5개 홈페이지 대상으로 진행된 '핵 더 펜타곤'을 벤치마킹해서 기획됐다. 핵 더 펜타곤은 자체 보안수준을 외부 전문가들로부터 점검받자는 취지로 대회가 진행됐고 그 성과를 긍정적으로 평가받아 '핵 더 아미' 등 유사 대회를 파생시켰다.
핵 더 키사 대회는 11월 중 2주일간 진행됐다. 485명이 대회 참가를 신청했다. 법무법인의 법률자문을 받은 신청서 약관을 작성하는 등 법적 문제가 없도록 신경썼다. 취약점 발굴 대상 홈페이지는 대회 당일 공개했다.
김 원장은 "(핵 더 키사 대회 참가자들로부터) 165건의 신고가 있었지만 운영기간 중 우리 서비스가 중단되거나 치명적인 데이터가 유출되는 일은 없었다"며 "참여해 주신 분들께 감사드리고 이 과정을 관심갖고 지켜봐 준 분들께도 고맙다고 말씀드린다"고 말했다.
KISA는 시작 직후 26분만에 첫 취약점 신고가 접수됐다고 밝혔다. 담당자들에 따르면 일상적인 취약점은 쉽게 발견되지 않았고, 접수된 취약점이 실제 유효한 것인지, 중복이 없는지 점검하는 과정을 거쳤다. 최종적으로 유효한 취약점을 발굴한 이들을 가려 4명에게 시상했다.
관련기사
- KISA, 홈페이지 취약점 신고자 28명에 2천555만원 포상2018.12.19
- KAIST, 바이너리 취약점 탐지 자동화기술 개발2018.12.19
- 라인, 화이트해커 보안 회사 '그레이해쉬' 인수2018.12.19
- KISA "홈페이지 취약점 찾아라"…경진대회 개최2018.12.19
KISA 측은 대회를 진행하면서 미처 확인하지 못하고 간과했던 취약점을 인지할 수 있게 됐고, 대회를 준비하면서 프로세스 점검과 내실화라는 소득이 있었다고 평가했다. 아직 세부 일정과 내용은 계획되지 않았지만, 내년에도 공동운영사를 찾아 후속 대회를 개최할 계획이다.
김 원장은 "내년 (후속 대회를) 당연히 진행하려 하는데, 어떤 형태로 할까(검토중)"라 "좀 더 효과적이고 도움될 수 있는 방향으로 기업들과 (공동운영을) 지금부터 준비하려 한다"고 언급했다.