네이버가 국내 웹 서비스 기업으로는 처음 자체 취약점 신고포상제도를 시작했다. 취약점 중요도에 따라 금액을 지정해 포상금을 지급하며 포상 상한액은 별도로 두지 않았다. 지난해 한국인터넷진흥원(KISA)이 자체 사이트 취약점을 찾는 '핵 더 키사' 실시 후 민간 첫 확산 사례가 나오면서 지지부진했던 '버그바운티' 확대가 기대된다.
최근 네이버는 취약점 신고 포상제도를 안내하는 '네이버 버그바운티 프로그램(Naver Bug Bounty Program)' 사이트를 개설했다. 사이트는 “네이버 서비스 취약점을 조기에 찾아 사용자에게 안전한 서비스를 제공하기 위한 프로그램”이라고 안내한다.
네이버는 자사 네이버 페이·블로그·카페·영화·쇼핑·회원 등뿐 아니라 해당 서비스에서 사용하는 API를 포함해 10여개 사이트를 대상으로 취약점 신고를 받는다. 이외 네이버 툴바, 백신, 클리너, 클라우드 탐색기도 포함됐다.
포상범위는 크게 여섯 가지로 영역으로 나눴다. 계정탈취, 원격제어 공격 가능한 '리모트 코드 익스큐션(Remote Code Execution)', 데이터베이스(DB)·파일접근 세 가지 항목에 대한 취약점은 최소 1000달러부터 시작하며 상한선은 정하지 않았다. 이외 클라이언트, 버그 등에 대해서도 최소 100~200달러 이상 포상금을 지급한다.
네이버는 포상금액에 대해 “어느 정도 정해진 기준은 있으나, 포상에 대한 제한은 없다”면서 “제출 된 취약점 고유성과 심각성을 기준으로 평가하고 각 제출에 대해 적절한 현금 포상을 결정한다”고 설명했다.
네이버는 버그바운티 프로그램 개설 전부터 KISA에 도움 받았다. KISA는 지난해 직접 운영하는 사이트 5개에 대해 취약점신고를 받는 '핵 더 키사'를 운영했다. 소프트웨어(SW)와 달리 상대적으로 미비한 인터넷 서비스(웹 페이지 등) 취약점 발견과 신고를 활성화하기 위한 방안으로 마련했다.
향후 국내 버그바운티 프로그램 확대를 기대한다. 해외에서는 구글, 페이스북, 마이크로소프트(MS) 등 글로벌 IT기업이 자체적으로 버그바운티 프로그램을 운영한다. 반면 국내는 정부 주도다. 활성화가 더뎌 포상 최대 금액을 기존 500만원에서 1000만원으로 확대했지만 3억원에 가까운 글로벌 기업 포상금액과 비교해 턱없이 부족하다.
네이버가 자체 포상금 지급 등 버그바운티 확대 전면에 나서면서 향후 더 많은 웹서비스 기업으로 버그바운티가 확대 될 것으로 예상된다.
KISA 관계자는 “버그바운티 자체가 민간에서 해야 하는데 인식 부족으로 아직까지 KISA를 통해 취약점 신고를 받았다”면서 “네이버에 신고접수, 운영방법 협의 등 사이트 개설에 많은 도움을 준 것처럼 향후에도 이런 기업이 지속적으로 나올 수 있도록 할 것”이라고 말했다.
정영일기자 jung01@etnews.com
