"축구에 비유하면, 이제 한국에서도 수비수만이 아니라 공격수도 키워야지 않느냐는 취지가 있었다."
김석환 한국인터넷진흥원(KISA) 원장이 '공격자 관점에서의 정보보호 수준 검증'의 필요성을 강조했다. 국내 공공기관 최초 홈페이지 취약점 찾기 대회 '핵 더 키사(Hack the KISA)'를 치른 소회를 밝히면서다.
김 원장은 19일 KISA 서울청사에서 진행된 핵 더 키사 우수 신고자 시상식 축사를 진행하며, 기관 안팎의 우려스러운 분위기에도 대회 개최를 추진한 것에 3가지 의미가 있었다고 설명했다.
김 원장은 "핵 더 키사를 (개최)해보자고 처음 얘기한 게 작년 이맘때였는데 내외부로부터 많은 우려, 불안, 반발이 컸다"면서도 "그럼에도 이걸 한 것에 3가지 의미가 있었다"고 말했다.
그는 첫째 취지로 "정보보호 담당하는 기관으로서 우리는 (정보보호 실무를) 제대로 하고있는가, 객관적으로 검증하고자 했다"며 "요즘 유행하는 용어로 '공격자 관점에서의 정보보호 수준 검증'이 필요하다 보고, 공공기관 최초로 하게 된 것"이라고 강조했다.
그는 "이제 축구와 비유하자면, 한국에서도 (정보보안 분야) 수비수만 키울 것이 아니라 공격수도 키워야하지 않느냐(는 생각이라)"며 "지난 국감때 한 의원이 '북한 해커 요원 몇 명인지 아느냐'는 질문에 '국방백서에 7천명정도로 적혀있는 걸로 안다'고 답했다"고 말했다.
이어 "다시 '우리는 얼마(나 있느)냐'고 해서 '통계로 집계한 바는 없다'고 했는데, 그 국회의원 말씀이 '업계에서 들어 보니 대략 400명, 탈탈 털면 한 500명 된다고 듣고있다'했는데, 여러분이 알다시피 이번 (핵 더 키사 대회 참가자로) 등록한 분이 정확하게 485명"이라고 지적했다.
김 원장은 "이런 인력을 양성할 필요가 있다"며 "향후 사이버세상에선 (발생하는 정보보안 관련 침해나 위협에) 여러 형태의 대응이 있을 수 있기 때문"이라고 덧붙였다. 즉 정보보안 인력들이 방어뿐아니라 공격관련 역량을 갖출 기회를 마련해야 한다는 게 둘째 취지다.
그는 마지막 셋째 취지로 외부 전문가를 통한 취약점 제거 활성화를 통한 서비스품질 향상을 꼽았다.
그는 "지금 (국내에서는) 단순히 소프트웨어(보안취약점)만 검증하고 있지만 서비스도 검증하고 이런 (버그바운티) 비즈니스모델 만들어져 산업화되고 국민이 체감할 수 있게 더 나은 품질의 서비스가 만들어져 수출, 산업생태계 조성도 됐으면 하는 욕심이 있다"고 덧붙였다.
KISA의 핵 더 키사는 국내서 활성화되지 않은 온라인서비스 취약점 발굴을 촉진하기 위해 추진됐다. 대규모 홈페이지에서 취약점 노출 사고가 많은만큼 그 파급도가 크지만, 이런 취약점을 발굴하는 화이트해커 활동은 국내 정보통신망법상 위법으로 간주돼 제약이 있었다.
즉 외부 일반인을 대상으로 기관 자체 홈페이지에서 취약점 발굴을 허용해, 국내서 SW와 달리 보안취약점 발굴이 자유롭지 않아 소극적일 수 있는 온라인 서비스의 취약점 발굴과 해결을 양성화한다는 아이디어였다.
대회는 과거 미국 국방부가 운영하는 5개 홈페이지 대상으로 진행된 '핵 더 펜타곤'을 벤치마킹해서 기획됐다. 핵 더 펜타곤은 자체 보안수준을 외부 전문가들로부터 점검받자는 취지로 대회가 진행됐고 그 성과를 긍정적으로 평가받아 '핵 더 아미' 등 유사 대회를 파생시켰다.
핵 더 키사 대회는 11월 중 2주일간 진행됐다. 485명이 대회 참가를 신청했다. 법무법인의 법률자문을 받은 신청서 약관을 작성하는 등 법적 문제가 없도록 신경썼다. 취약점 발굴 대상 홈페이지는 대회 당일 공개했다.
김 원장은 "(핵 더 키사 대회 참가자들로부터) 165건의 신고가 있었지만 운영기간 중 우리 서비스가 중단되거나 치명적인 데이터가 유출되는 일은 없었다"며 "참여해 주신 분들께 감사드리고 이 과정을 관심갖고 지켜봐 준 분들께도 고맙다고 말씀드린다"고 말했다.
KISA는 시작 직후 26분만에 첫 취약점 신고가 접수됐다고 밝혔다. 담당자들에 따르면 일상적인 취약점은 쉽게 발견되지 않았고, 접수된 취약점이 실제 유효한 것인지, 중복이 없는지 점검하는 과정을 거쳤다. 최종적으로 유효한 취약점을 발굴한 이들을 가려 4명에게 시상했다.
관련기사
- KISA, 홈페이지 취약점 신고자 28명에 2천555만원 포상2018.12.19
- KAIST, 바이너리 취약점 탐지 자동화기술 개발2018.12.19
- 라인, 화이트해커 보안 회사 '그레이해쉬' 인수2018.12.19
- KISA "홈페이지 취약점 찾아라"…경진대회 개최2018.12.19
KISA 측은 대회를 진행하면서 미처 확인하지 못하고 간과했던 취약점을 인지할 수 있게 됐고, 대회를 준비하면서 프로세스 점검과 내실화라는 소득이 있었다고 평가했다. 아직 세부 일정과 내용은 계획되지 않았지만, 내년에도 공동운영사를 찾아 후속 대회를 개최할 계획이다.
김 원장은 "내년 (후속 대회를) 당연히 진행하려 하는데, 어떤 형태로 할까(검토중)"라 "좀 더 효과적이고 도움될 수 있는 방향으로 기업들과 (공동운영을) 지금부터 준비하려 한다"고 언급했다.
