하우리-KISA, 소프트웨어 보안취약점 신고포상제 운영 협약 체결
상용 소프트웨어 타깃으로 하는 제로데이 공격 대응 위해 운영

[보안뉴스 김경애 기자] 보안기업 하우리(대표 김희천)는 한국인터넷진흥원(이하 KISA, 원장 김석환)과 소프트웨어 보안취약점 신고포상제(이하 신고포상제) 운영 협약을 체결했다고 밝혔다.


신고포상제는 상용 소프트웨어를 타깃으로 하는 제로데이 공격(Zero-day Attack)에 대한 대응을 위해 운영되는 제도로, 소프트웨어의 보안 취약점을 발견한 사람에게 포상금을 지급함으로써 개발업체에서 미처 발견하지 못한 취약점을 사전에 발견하여 조치할 수 있다.

구글, MS, 페이스북 등의 해외 글로벌 기업은 자사 제품 및 서비스의 취약점을 미리 발굴해 보안을 강화하는 버그바운티(Bug Bounty)라는 제도를 이미 오래 전부터 도입·운영하고 있다. 국내 기업들 경우에는 취약점을 제보하면 기업에 대한 간섭 또는 공격행위로 간주하거나 자사 이미지 실추 등의 이유로 본 제도 도입에는 소극적인 편이다.

하우리는 KISA와 함께 신고포상제 운영에 참여하는 12번째 기업으로 등록됐고, 신고대상은 하우리에서 개발한 최신 버전의 SW에 영향을 줄 수 있는 취약점이다. 신고된 취약점은 KISA에서 1차 검증 및 평가를 한 후, 외부 평가위원회를 통해 2차 평가를 진행하고 평가결과에 따라 포상금 결정 및 지급을 수행한다. 외부 평가위원회는 교수, 취약점 전문가, SW제조사 등 5명으로 구성해 투명성을 확보했다.

김의탁 하우리 연구소장은 “최근 들어 정보보호업체 및 제품에 대한 공격이 증가하고 있어 내부적으로 3중 망분리와 보안의 날 행사, SW 취약점 분석 등을 수행해 왔다”며 “금번 SW 보안취약점 신고포상제를 추가 운영함으로써 보다 입체적이고 강력한 보안 대응을 수행할 수 있게 됐다”고 밝혔다.
[김경애 기자(boan3@boannews.com)]

<저작권자: 보안뉴스(www.boannews.com) 무단전재-재배포금지>