미래부-KISA, ‘2015년 SW 취약점 신고포상제 우수신고자 간담회 개최 및 시상

[보안뉴스 김경애] 2015년 SW 취약점 신고포상제 우수신고자 간담회가 29일 한국인터넷진흥원 본원(가락동)에서 개최됐다.


미래창조과학부와 한국인터넷진흥원(KISA, 원장 백기승)은 ‘사이버위협 선제적 예방체계 구축운영 사업’의 일환으로 2012년부터 ┖SW 보안취약점 신고포상제’를 운영하고 있다. 2015년에 접수된 321건의 취약점 중 피해 심각성, 기술 난이도 등을 전문가 심사를 거쳐 수상자를 선정해 시상했다.

최우수상은 금융관련 보안프로그램 등 다양한 분야의 취약점을 신고한 고기완(스틸리언) 씨가 수상했으며, 우수상은 공유기 취약점을 신고한 하동주(NSHC) 씨에게 돌아갔다. 또한, 특별상은 이형섭(한글과컴퓨터 분야, 극동대학교) 씨와 이종호(네이버 분야, 라온시큐어) 씨가 각각 수상했다.

금융분야 취약점 제보로 최우수상을 수상한 스틸리언 고기완 연구원은 “올 한해 동안 다양한 분야에서 취약점을 접수받았는데, 꾸준히 참여해서 좋은 결과를 얻은 것 같다”며 “예전에는 한글 문서 편집 프로그램의 취약점을 이용한 제로데이 공격이 많았는데, 최근에는 한글과컴퓨터 사가 포상제에 적극 참여하면서 취약점 패치 등이 잘 이루어진 것 같아 기쁘다. 아직 취약점 신고포상제를 모르는 사람들이 많은데, 앞으로 보안을 공부하는 학생들의 적극적인 참여가 있었으면 좋겠다”고 말했다.

또한, 그는 “최근 인터넷뱅킹 운영에 있어 non-ActiveX 형태로 바뀌는 추세에 따라 exe 방식을 사용하고 있는데, 해당 방식의 경우 취약점이 많은 편이라 충분한 검토한 후 도입하는 게 중요할 것 같다”고 덧붙였다.

공유기 취약점 신고로 우수상을 수상한 NSHC 하동주 연구원은 “앞으로 더 많은 곳에서 취약점 신고 포상제에 참여할 수 있는 기회와 환경이 조성됐으면 좋겠다”며 “취약점 신고 포상제는 정보보호 발전을 위해 매우 중요하다. 기업에서 보안 담당자들도 함께 참여하고 기업에서도 이를 독려하는 보안 문화로 인식이 개선되길 바란다”고 말했다.

특별상을 수상한 라온시큐어 이종호 연구원은 “이번에 수상한 것보다 기업 입장에서는 참여하기가 쉽지 않음에도 네이버와 한글과컴퓨터 사가 이번 포상제에 참여하고 공동 운영했다는 점에서 더욱 의미가 있는 것 같다”며, “외국에서는 이미 활성화되어 있는 버그바운티 제도처럼 한국에서도 더욱 많은 기업이 참여해 신고포상제가 좀더 활성화됐으면 좋겠다”고 바램을 전했다.

이어 이종호 연구원은 “신고포상 제도가 도입된 이후 그동안 한글, IoT 관련 취약점을 꾸준히 찾아왔는데, 최근에는 네이버와 안랩 V3 취약점을 찾아 신고했던 게 가장 기억이 남는다”며 “SW 보안 강화를 위해 앞으로도 적극 참여할 예정”이라고 말했다.

한글과컴퓨터 분야에서 최다 취약점 제보로 특별상을 수상한 극동대학교 이형섭 군은 “평소 취약점을 찾는데 관심이 많아 취약점 신고 포상제에 참여한 게 계기가 되어 2년간 꾸준히 활동하게 됐다”며, “한글 취약점이 상당수 개선돼 기쁘다. 앞으로도 적극적으로 참여해 향후 취약점 전문가로 성장하고 싶다”고 말했다.

한국인터넷진흥원 전길수 사이버침해대응본부장은 “SW 취약점 우수신고 발굴 포상제가 더욱 많은 기업들의 참여를 통해 확산되어 사이버위협의 선제적 예방에 기여할 수 있기를 바란다”고 말했다.
[김경애 기자(boan3@boannews.com)]

<저작권자: 보안뉴스(www.boannews.com) 무단전재-재배포금지>