해킹 치밀해지는데…'보안 취약점 포상제' 활성화 언제?

해킹 피해를 사전에 예방하기 위해, 보안 취약점에 포상금을 걸고 제보를 받는 '버그 바운티' 제도가 활성화돼야 한다는 주장이 제기된다.

해외에서는 구글, 애플, 마이크로소프트(MS), 페이스북 등 글로벌 IT 기업 등이 버그 바운티 제도를 운영하는 사례들을 찾아볼 수 있다.

기업과 해커를 연결해주고, 취약점에 따른 포상금을 받을 수 있게 하는 플랫폼 '해커원'도 활발히 운영되고 있다. 미국 국방부와 인텔, 페이팔, 퀄컴, 트위터 등 주요 글로벌 기업을 포함한 고객사 약 2천여곳과 약 100만명의 해커가 참여하고 있다.

반면 31일 정보보안 업계에 따르면 국내에서는 삼성전자, 네이버 외 버그 바운티 제도를 자체 운영하는 국내 기업은 찾기 어려운 상황이다.

우리나라는 주로 한국인터넷진흥원(KISA), 금융보안원 등 공공기관에서 버그 바운티 제도를 운영하고 있다. 민간에서 버그 바운티가 활성화돼있지 않은 만큼, 마중물로 기능하겠다는 게 제도의 취지다.

KISA의 경우 '소프트웨어(SW) 신규 취약점 신고포상제'를 운영하면서 현재 19개 민간 기업들과 협업 중이다. 협업 기업 제품의 취약점 제보가 들어오면 해당 기업이 포상금을 지급하고, 그 외 KISA가 분기별로 우수 제보에 대한 포상금 최대 1천만원을 지급하는 식이다.

금융보안원은 금융권에서 사용하는 SW를 대상으로 버그 바운티를 운영한다. 상·하반기에 나뉘어 실시되며, 우수 제보 포상금은 KISA와 동일하다.

코로나19로 원격근무가 확산되는 상황을 고려해, 기업용 SW에 대한 취약점 대응도 준비 중이다. 정부가 디지털 뉴딜 추진 과제 중 하나로 밝힌 '개방형 보안 취약점 분석 플랫폼'이다.

이동연 KISA 취약점분석팀장은 "외부인이 기업용 SW에 접근하기 어렵기 때문에 모의 해킹을 통한 취약점 발견이 잘 이뤄지지 않고 있고, 기업 입장에서는 이런 취약점 분석 활동이 서비스 장애를 일으킬까 우려를 한다"며 "화이트해커들이 이런 SW에 대해서도 취약점을 발견할 수 있게 하는 플랫폼을 내년 구축해 2022년부터 실제 서비스될 예정"이라고 설명했다.

이에 대해 정부는 우수 신고사례에 대한 포상금 지급 등을 추진하는 정보통신망법 개정을 예고한 바 있다.

공공기관에서 운영하는 버그 바운티 제도에 미비한 부분이 있다는 지적도 나온다. SW가 아닌, 웹서비스 관련 취약점은 포상금 지급 대상으로 포함되지 않아서다.

보안업계 한 관계자는 "웹 공격이 가능한 취약점들은 현행 취약점 신고포상제에서 포상을 받을 수 없고, 특정 SW를 실행할 때 유효한 취약점에 대해서만 제도를 이용할 수 있다"며 "기업에서 개인정보 유출 등을 유발하는 취약점은 주로 웹서비스 기반 취약점이라 버그 바운티 제도에 이런 부분이 반영되는 것이 바람직할 것"이라고 언급했다.

웹서비스 취약점이 버그 바운티 제도에 반영되지 않는 이유는 법적 한계 때문이다. 취약점을 찾기 위한 모의 해킹을 수행하더라도, 서비스 중인 웹사이트나 시스템에 접근 권한 없이 침입하는 것은 정보통신망법 상 불법으로 규정돼 있기 때문이다. 문제 해결을 위한 법 개정 시도가 여럿 있었지만, 해킹이나 정부 감시 강화 등 악용 가능성을 우려한 반대에 부딪쳐왔다.

이런 한계점에 대해 이동연 KISA 팀장은 "법적 한계 하에서 제도를 최대한 극복하기 위해 협업사를 모아 홈페이지 취약점 신고 대회인 '핵 더 챌린지'를 여는 등 보완 방안을 모색하고 있다"고 답했다.