이에 본지는 국내 SW사들이 보안취약점을 보다 신속히 찾아 수정하도록 하기 위한 좀더 효율적인 방안이 없는지 학계, 법계, 업계 등의 관련 전문가들과 함께 ‘국내 SW 보안취약점 신고포상제 활성화 방안 간담회’를 본지 회의실에서 개최했다.

[국내 SW 보안취약점 신고포상제 활성화 방안 간담회 참석자(성명 가나다순)]

- 김경환 대표변호사(법무법인 민후)

- 김태훈 상무이사(한국버그바운티)

- 김형중 교수(고려대 사이버국방학과)

- 박진완 팀장(한국인터넷진흥원 취약점분석팀)

- 이승진 대표(그래이해쉬)

- 이정훈 연구원(라온시큐어)

- 사회 : 김지언 기자 / 정리 : 민세아 기자

이번 간담회에서는 기업들이 자사 SW의 보안취약점을 찾아야 하는 이유와 향후 국내 기업들이 자사의 SW 보안 취약점을 찾기 위해 어떻게 노력해야 하는지 등 버그바운티 제도를 비롯한 다양한 방안들이 논의됐다.

대부분의 국내 SW 기업이 버그바운티를 운영하지 않는 이유

전문가들은 대부분의 국내 SW 기업이 버그바운티를 운영하지 않는 이유와 SW 취약점을 찾아야 하는 이유와 관련해 다음과 같이 말했다.

법무법인 민후 김경환 대표변호사 국내 기업들은 자기들의 실수나 하자를 노출하는 것 자체를 매우 두려워하는 경향이 있다. 바로 실수가 매출 저하로 이어질 수도 있다는 생각 때문에 버그바운티를 운영하지 않는다. 

한국버그바운티 김태훈 상무이사 마케팅 수단으로 활용할 기업을 제외하고는 제조사의 취약점 노출 사고나 혹시 모를 책임소재 문제 등으로 기업에서는 버그바운티 운영에 부담감을 느낀다. 보통 기업의 경영자들은 제도 도입에 긍정적이지만 개발, 품질, 보안담당자들이 인사상 불이익이나 책임문제 등에 대한 부담감으로 꺼리는 경우도 많다.

그러나 모든 시스템과 소프트웨어에는 알려지지 않은 취약점이 발생할 수 있고, 이러한 신규 취약점을 노린 새로운 지능적인 공격을 완벽히 막아내는 것이 어렵기에 피해가 확산되는 것을 예방하기 위한 지속적인 노력이 필요하다.

한국인터넷진흥원 박진완 팀장 버그바운티 제도 등을 운영할 경우 기업은 자사 제품과 서비스를 타깃으로 한 공격자의 무분별한 해킹시도를 우려하고 있다. 그러나 공격자는 버그바운티 운영 여부와 관계없이 수익성이 존재한다면 해킹시도를 한다. 따라서 취약점 정보가 공격자에 의해 먼저 발견된다면 더 큰 문제를 야기시킬 수 있다.

그래이해쉬 이승진 대표 취약점을 찾기 위한 이상적인 모델은 사기업에서 알아서 버그바운티와 유사한 제도를 운영하는 것이나, 국내 일부 기업을 제외하고 대부분의 기업에서는 자금 확보 등의 문제로 이를 자체적으로 운영하기란 쉽지 않다. 버그바운티는 커녕 소프트웨어 보안취약점을 찾을 수 있는 인력을 갖고 있지 않을 뿐더러 외부 컨설팅조차 잘 받지 못하고 있다. 그러나 이들 기업이 생산하는 제품들은 개인·기관·군 등에서 사용되고 있기에 만약 취약한 제품이 그대로 방치될 경우 해당 제품을 사용하는 고객들이 큰 피해를 입을 수 있다. 국내 기업 역시 책임감을 가지고 고객에게 피해가 가지 않도록 제품을 개발해야 한다.

국내 기업이 SW 보안취약점을 신속히 찾을 수 있는 방안  

그렇다면 해외 기업에서는 어떻게 SW의 보안취약점을 찾고 있을까? 그리고 국내 기업이 자사의 보안취약점을 찾기 위해서는 어떠한 방법을 도입할 수 있을까?

한국버그바운티 김태훈 상무이사 정부는 일정 수준 이상의 기업에게는 버그바운티 제도를 도입될 수 있도록 해야 한다. 그러나 기업 입장에서 자발적이고 독자적으로 운영하기가 부담스럽다면 일정액의 비용을 지불하는 가입형 회원제 버그바운티 운영이 한국형 버그바운티 활성화에 해법이 될 수 있다고 본다. 이는 음지에서 활동하는 해커를 제도권 안으로 끌어들일 수 있는 잇점도 있다.

이와 함게 기업의 경우 제조사의 품질관리 노력이 지속돼야 한다. 제품출시 전에는 전문테스트 기업에게 검사를 받을 수 있도록 해야 하는 등 보안취약점 점검이 사전에 진행될 수 있도록 해야 한다.

고려대 사이버국방학과 김형중 교수 기업들이 자발적으로 버그바운티를 운영할 수 있는 환경을 마련해 주되, 정부 역시도 버그바운티를 운영해야 한다. 특히, 군, 정보기관 등 관련기관의 경우 향후 사이버전 대응 및 대비 차원에서도 미리 취약점을 찾도록 환경을 마련하는 것이 매우 중요하다고 본다.  

또 이렇게 신고가 들어온 취약점에 대해 보상하는 문제와 관련해서도 생각해 볼 필요가 있다. 취약점을 찾았을 경우 상금을 주는 것도 좋지만 명예를 부여하거나 스카우트, 취업 등 다양한 실질적 혜택과 충분한 인센티브를 적용한다는 측면에서도 생각해 볼 필요가 있다.

한국인터넷진흥원 박진완 팀장 기업에서 자사 제품에 대해 스스로 버그바운티 제도를 운영하는 것이 가장 좋은 방법이다. 그러나 자체적인 운영이 어려울 경우 야후나 트위터 등의 사례처럼 버그바운티를 운영하는 업체에 맡겨 대행하는 방식도 고려해 볼 수 있다.

그래이해쉬 이승진 대표 보안은 IT 산업이 잘 정립되어 있어야 하기 때문에 먼저 IT 산업의 인프라 구축이 선행되어야 한다. 이는 다시 말하면 아직 국내 IT 기업에서는 버그바운티를 위한 자금 확보가 어려운 상황이라는 얘기다. 구글의 경우 100% 버그 헌팅에만 시간을 쏟는 인력을 배치해 개발과정에서부터 취약점을 발견하고 수정한다. 국내 기업 중 구글과 같은 상황이라면 당연히 △개발자를 위한 보안교육 △개발 시 보안을 고려한 프로세스 △보안취약점을 찾을 자체 인력 배치 △외부컨설팅 △버그바운티 운영을 하면 된다. 그러나 만약 이와 같은 여유가 없다면 첫번째에서 세번째까지의 조치를 우선적으로 받아들이고 나머지는 선택적으로 받아들이면 된다.

라온시큐어 이정훈 연구원 해외에서 운영되는 버그바운티는 크게 해커온과 같이 버그바운티를 대행해 운영하거나 구글·MS·모질라 등과 같이 버그바운티를 자체적으로 운영하는 경우, 그리고 각종 소프트웨어 업체들에게 취약점을 사들여 자사 제품 등에 추가하는 방식 등이 있다. 그러나 이 중 국내에 도입해 볼만한 케이스는 버그바운티 대행 기업에게 해당 취약점을 통한 상금 평가까지 모두 맡기는 것이라고 생각한다. 국내 소프트웨어 기업들은 취약점 분석 전문인력이 없는 것은 물론이고 취약점 분석만을 위한 인력을 뽑기도 어렵다. 따라서 대행사에 취약점 분석 및 상금 평가까지 상금만 해당 기업에서 지급하는 형식을 고려해볼 만하다. 이외에도 버그바운티 기업은 어떤 방향으로 운영되어야 하는지, 각각의 장점과 우려사항 등에 대해서도 심도 있게 논의해야 한다. 특히 체계적인 시스템 구축이 중요하다고 본다.  

이번 간담회에서 국내 소프트웨어 업체들이 신규 보안취약점에 보다 효과적으로 대응하기 위한 방안들을 들어봤다. 개발단계에서부터 시큐어코딩에 신경 쓰고 꾸준히 자체 또는 외부의 도움으로 취약점을 찾아야 한다는 의견이 대다수였다. 또 일정 규모 이상의 기업은 버그바운티를 자체 운영할 필요도 있다는 의견 역시 제시됐다.

앞서 언급했듯이 취약점이 해커에 의해 먼저 발견돼 악용된다면 큰 피해를 입을 수 있다. 국내 기업들은 모든 SW 제품에서 보안취약점이 나올 수 있다는 사실을 먼저 인정하고 다양한 방법으로 취약점을 찾기 위한 노력을 게을지 하지 말아야 한다.   

[김지언 기자(boan4@boannews.com)]

<저작권자: 보안뉴스(http://www.boannews.com/) 무단전재-재배포금지>