[보안뉴스 김경애] 웹서비스 또는 소프트웨어의 취약점을 찾아낸 사람에게 포상금을 지급하는 제도인 버그바운티(Bug Bounty).

각종 해킹 및 보안기술을 보유하고 보안전문가로 활동하고 있는 이들에겐 개인의 역량을 높이고 인지도를 상승시키는 역할 뿐만 아니라 실질적인 포상을 받을 수 있는 이점이 있다. 기업의 경우는 버그바운티를 통해 취약점을 업데이트할 수 있어 보안위협에 대응할 수 있고, 비용 절감과 함께 SW품질을 향상시킬 수 있는 부수적인 효과도 얻을 수 있다.

해외의 경우 구글, 이베이, 마이크로소프트, 드롭박스, 어베스트, 레드햇, 페이스북, 모질라 등이 버그바운티를 운영하고 있으며, 국내는 공공기관 가운데서도는 한국인터넷진흥원(KISA)이, 민간기업의 경우 삼성전자, 한글과컴퓨터 등에서 버그바운티를 운영하고 있다. 

KISA의 경우 출현도 25%, 영향도 30%, 공격효과성 30%, 발굴수준 15% 평가기준으로 버그바운티 제도를 운영 중이다.

KISA가 집계한 버그바운티 운영통계를 살펴보면 월간 평균 14개로 2014년 액티브X취약점 신고 110건을 포함하면 총 519건의 취약점을 발견했으며, 취약점 평가를 거쳐 총 310건의 취약점에 총 3억 2,605만원이 지급된 것으로 알려졌다.

취약점 분야는 PC가 58%로 가장 많은 비율을 차지했으며, CMS 18%, 서비스 14%, 서버 3.7%, 디바이스 3.3% 순으로 집계됐다.

PC 취약점 중에는 액티브X가 63.5%로 가장 높은 비율을 차지했으며, 문서편집이 21.3%, 멀티미디어 6.6% 순으로 나타났다.

이와 관련 한국인터넷진흥원 박정환 팀장은 “공유기, CCTV 등 IoT 취약점이 증가하는 추세이며, 향후 IoT 관련 취약점 신고가 많아질 것으로 예상된다”고 밝혔다.

하지만 버그바운티, 즉 취약점 신고포상제가 활성화되기 위해서는 미흡한 점이 적지 않다는 지적이다. 첫째로 해외에 비해 포상금액 액수가 너무 적게 책정돼 있는 실정이다. 최근 MS에서 진행한 버그바운티에서 국내 보안전문가 이정훈 씨는 2억원대의 포상금을 받은 것으로 알려졌다. 하지만 한국인터넷진흥원의 경우 한정된 예산으로 진행되다 보니 포상금액이 30만원에서 최고 500만원 수준이다. 

버그 바운티 활성화 방안과 관련해 박 팀장은 “취약점 신고포상제의 운영 및 참여 매뉴얼이 개발·배포되어야 하며, 신고포상제 참여기업 대상에겐 인센티브 제공 등이 확대되어야 한다”고 제시했다.

이어 그는 “민간합동조사단 중 취약점 분과에서 활동 중인 정보보안 전문가를 적극 활용해야 한다”며 “7일 이내 SW 제조사가 조치계획을 접수하고, 2개월 이내 SW 제조사가 보안패치를 개발하며, 정책 미준수시 해당 SW취약점 제조사를 공개하는 7-2-1 정책을 확립하는 것도 취약점 대응을 강화할 수 있는 방법”이라고 강조했다.

또 다른 문제점은 취약점 포상제가 어린 학생들의 경쟁 또는 영웅심리를 자극해 불법적인 행위가 빈번하게 발생할 수 있다는 점이다. 정보보안을 공부하는 어린 학생등이 합법인지 불법인지 모르거나 혹은 알면서도 SQL 인젝션, XSS 등 불법적인 방법으로 취약점 신고를 하는 경우가 지금보다 훨씬 늘어날 수 있다는 우려다.
 

이와 관련 박 팀장은 “이에 대해 정통망법에서 언급이 되고 있긴 하지만, 조금 더 구체화해 정리될 필요가 있다”며 “교수, 기업 보안담당자, 보안전문가들과의 자문회의 등을 통해 활성화 방안에 대한 구체적인 의견을 수렴한 후, 정부와 협의할 계획”이라고 말했다. 이를 바탕으로 내용이 정리되면 합법적인 범위 내에서 버그바운티에 참여할 수 있도록 안내서를 제공할 수 있을 것이라고 덧붙였다.

이외에 국내에서 열리는 해킹방어대회에서 기업들이 참여할 수 있는 이벤트 성격의 버그바운티 대회를 운영하는 방안도 추진 중이다. 실제 올해 개최되는 Secuinside 2015에서 버그바운티 대회가 열릴 것으로 알려졌다.   

[김경애 기자(boan3@boannews.com)]

<저작권자: 보안뉴스(http://www.boannews.com/) 무단전재-재배포금지>