라인이 `보안취약점 신고포상제(버그바운티)`를 상시 운영한다. 구글, 페이스북, 마이크로소프트 등 글로벌 기업이 도입한 버그바운티가 국내에서 자리를 잡을지 주목된다.
라인은 최근 상시 버그바운티 프로그램을 시작했다. 라인은 지난해 8월 24일부터 한달 간 `라인메신저`에서 보안 취약점을 찾는 버그바운티 프로그램을 운영했다. 당시 라인은 최소 500달러(약 59만원)에서 최대 2만달러(약 2300만원)까지 취약점 심각도와 중요도를 평가해 보상금을 지급했다. 라인은 단발성 이벤트에서 상시 프로그램으로 전환하며 최대 1만달러(약 1180만원) 상금을 준다.
버그바운티는 내부 보안 인력 한계를 외부 전문가(화이트햇 해커) 참여를 유도해 극복하는 방법이다. 구글과 마이크로소프트, 페이스북 등은 버그바운티 프로그램을 상시 운영해 제품과 서비스에서 보안 취약점을 빠르게 찾아 대처한다. 구글은 채택된 신고에 건당 2만달러(약 2300만원)까지 보상한다. 페이스북은 2015년 초까지 버그바운티 상금 총액이 300만달러(약 35억6400만원)에 달했다. 미국 국방부는 지난 4월 역사상 최초로 버그바운티 프로그램 `핵 더 펜타곤(Hack the Pentagon)`을 시작했다. 국방부 웹사이트와 네트워크 보안을 뚫어보고 취약점을 제보한다.
국내 버그바운티 프로그램은 한국인터넷진흥원이 주도했다. 한국인터넷진흥원은 2012년 처음 보안취약점 신고포상제를 시행했다. 민간 기업이 스스로 나서지 않자 공공기관이 보상하는 제도로 시작했다. 첫해 23건 신고를 받았으며 14건을 포상했다. 2013년 신고 179건 포상 89건, 2014년 신고 247건 포상 177건, 2015년 신고 321건 포상 215건, 2016년(현재) 신고 170건 포상 106건으로 매년 증가했다. KISA가 지금까지 지급한 포상금액은 5억4255만원에 달한다.
국내 기업 중 버그바운티를 자체적으로 운영하는 기업은 삼성전자다. 네이버, 한글과컴퓨터, 카카오는 KISA 프로그램 후원사다. 네이버와 한글과컴퓨터는 총 5950만원 포상금을 지급했다.
심준보 블랙펄시큐리티 이사는 “한글과컴퓨터는 버그바운티제 운영 후 한컴 오피스 취약점을 신속히 찾아 대응하며 과거보다 보안성이 개선됐다”고 말했다.
이동연 KISA 취약점분석팀장은 “매년 버그바운티 프로그램에 신고되는 취약점과 포상이 늘고 있다”며 “초기보다 인식이 많이 확산되긴 했지만 대기업 등의 보다 적극적인 참여가 필요하다”고 설명했다.
류재철 충남대 교수는 “보안 취약점 분석 연구는 사이버 방어와 공격에서 기본 연구주제로 해외에서는 매우 활성화됐지만 국내는 소수 전문가가 비공개적으로 한다”며 “개발자나 기업이 제품에서 보안 취약점을 공지하는 데 극도로 예민하다”고 꼬집었다. 류 교수는 “글로벌 기업은 이런 문제에 적극 대처하며 제품 완성도를 높인다”면서 “버그바운티를 활성화해 능력 있는 해커를 제품 보안 강화에 활용한다”고 덧붙였다.
<SW신규 취약점 신고포상제 현황 (자료:한국인터넷진흥원)>
김인순 보안 전문기자 insoon@etnews.com