[아이뉴스24 김혜경 기자] 구글과 페이스북, 마이크로소프트(MS) 등 글로벌 빅테크 기업들은 자사의 제품‧서비스 보안을 강화하기 위해 '버그바운티(Bug Bounty)'를 적극 활용하고 있다. 이는 소프트웨어와 웹 서비스의 취약점을 찾아낸 사람에게 포상금을 주는 제도다.
해외에 비하면 국내에서는 참여 기업은 물론 포상의 규모도 적은 편이지만 지난 몇 년 간 버그바운티에 대한 사회적 관심이 꾸준히 높아지고 있는 점은 긍정적인 신호로 풀이된다.
![글로벌 빅테크 기업들은 자사의 제품‧서비스 보안을 강화하기 위해 '버그바운티(Bug Bounty)'를 적극 활용하고 있다. [사진=조은수 기자]](https://image.inews24.com/v1/99742a9d5f2ec2.jpg)
24일 업계에 따르면 한국인터넷진흥원(KISA)은 해외 기업들을 모델로 삼아 2012년 10월부터 '소프트웨어 취약점 신고포상제'를 운영하고 있다. 현재 24개 기업이 KISA의 보안 취약점 포상제에 공동운영사로 참여하고 있으며, 분기별 우수 취약점을 선정해 포상금을 지급한다.
해외에서는 기업들이 자체적으로 프로그램을 운영하기도 하지만 '해커원(HackerOne)', '버그크라우드(Bugcrowd)' 등 버그바운티 플랫폼도 성장세를 보이고 있다. 미 국방부는 2016년부터 '핵 더 펜타곤(Hack the Pentagon)', '핵 디 아미(Hack the Army)' 등의 프로그램을 운영해 100여개의 취약점을 발견한 바 있다.
버그바운티를 운영하는 이유는 집단지성을 활용함으로써 그동안 발견되지 않았던 취약점을 찾아내 기업‧기관의 보안 수준을 강화할 수 있기 때문이다. 비용 대비 효과적이고 위협을 상시 관리할 수 있다는 것이 장점이다.
박세한 엔키(ENKI) 연구소장은 "소프트웨어는 특성상 기능이 계속 변경되고 추가되므로 한시적인 기간에 보안 문제를 완벽하게 해결할 수 없다"며 "보안 문제에 지속적으로 관심을 가질 수 있도록 어떤 장치가 필요한데 그 중 하나가 버그바운티"라고 말했다.
해외와 비교했을 때 그동안 국내기업은 버그바운티 운영에 소극적인 태도를 보여왔다. 취약점 제보 시 기업에 대한 공격‧간섭 행위로 간주되는 사회적 분위기 영향이 큰 것으로 분석된다. 2010년대 중반까지 개별 기업이 주도해 버그바운티를 운영한 곳은 삼성전자가 유일한 것으로 알려졌다. 2012년 삼성전자는 스마트TV 제품에 한정해 버그바운티 운영을 시작했다.
보안업계 한 관계자는 "버그바운티와 보안솔루션 개발은 상호보완적인 관계"라면서 "그동안 국내에서는 공격적인 측면의 보안 개념보다는 방어적인 측면이 상대적으로 강조되면서 버그바운티 운영에 적극적인 관심을 보이지는 않았다"고 말했다.
최근 몇 년 간 변화는 조금씩 감지되고 있다. KISA 주도의 버그바운티에 공동운영사로 참여했던 네이버는 2019년부터 자체적으로 프로그램을 운영하고 있으며, 같은해 금융보안원도 금융권을 대상으로 버그바운티를 시행하고 있다. 보안기업 지니언스는 지난달 국내 보안업계에서는 처음으로 해당 프로그램을 실시한다고 발표한 바 있다.
버그바운티 플랫폼도 등장하고 있다. 기업의 버그바운티 프로그램과 참여자를 연결하고, 프로그램 운영에 필요한 기능을 제공하는 서비스다. 현재 국내에서는 삼성SDS를 비롯해 엔키, 파스텔플래닛, 티오리 등이 플랫폼을 운영하고 있다. 삼성SDS는 2020년 11월 사내벤처가 개발한 '해킹존' 서비스를 시작했고, 보안기업 엔키는 지난해 7월 '버그캠프'를 런칭했다.
박 소장은 "해외에서는 기업들이 자체 프로그램을 운영하는 방식 외에도 버그바운티 플랫폼과의 협업도 활발하게 이뤄지고 있다"며 "국내에서는 아직까지 안착했다고 볼 수 없겠지만 과거와 비교했을 때 효용적 측면에서는 인정받았다고 보고 있다"고 말했다.
/김혜경 기자(hkmind9000@inews24.com)
--comment--
첫 번째 댓글을 작성해 보세요.
댓글 바로가기