28명에 2,550만원 포상, 단일 항목 중 최고 포상금은 최우수상 주유성 씨가 받은 400만원
기술적 취약점도 있지만, 공격자 시각의 새로운 취약점 알게 된 것이 가장 큰 수확
내년에는 다른 기관·기업과 함께 ‘Hack the KISA & ???’ 열린다

[보안뉴스 원병철 기자] 한국인터넷진흥원(원장 김석환, KISA)이 ‘Hack the KISA’와 ‘2018년도 신규 보안 취약점 신고 포상제’ 상위 우수 신고자에 대한 포상 시상식을 개최했다. KISA는 12월 19일 서울청사에서 시상식을 열고 핵 더 키사 상위 우수자 4명과 소프트웨어 신규 취약점 신고포상제 우수 신고자 3명에 대한 포상을 진행했다.


우리나라 공공기관 최초로 시행된 ‘핵 더 키사’ 개방형 보안 취약점 찾기 대회는 총 485명의 민간 보안 전문가가 참여했으며, 참여자 중 59명이 총 163건의 취약점을 발견해 신고했다. KISA는 유효한 보안 취약점 60건을 선정하고 28명에게 총 상금 2,555만원을 포상했으며, 단일 취약점 중 최고액은 400만원이었다.


이번 대회에서는 시작 26분 만에 최초 신고자가 접수되는 등 참여자 간의 치열한 취약점 발굴 경쟁이 있었다고 KISA 측은 설명했다. 시상식에서는 KISA는 파급도·난이도 등에 따라 높은 평가를 받은 상위 우수 신고자 4명, 주유성(최우수), 장형욱(우수), 강우원(장려), 이태양(장려) 씨가 각각 포상을 받았다.


또한, 이날 ‘핵 더 키사’ 대회 포상 시상식 이외에도 KISA는 사이버 침해사고를 사전에 예방하고, 전문가들의 취약점 발굴을 장려하기 위해 운영한 ‘2018년도 신규 보안 취약점 신고 포상제’ 상위 우수 신고자 3명에 대한 시상식도 함께 개최했다. 소프트웨어 신규 취약점 신고포상제 우수 신고자는 이영훈(최우수), 백정운(우수), 구사무엘(장려) 씨가 각각 포상을 받았다.

신규 취약점 신고포상제에서 장려상을 받은 구사무엘 씨는 “학생 때 참여를 해오다 취업한 후 오랜만에 참여를 했는데, 과거와 달리 많은 발전이 있었음을 느낄 수 있었다”고 수상소감을 전했다. 특히, 구사무엘 씨는 “이번 행사에서는 주로 액티브 엑스와 금융권 보안에 집중했는데, 여러 솔루션들이 통합과 검증을 거치면서 많은 발전을 한 것 같다”고 평가했다.

KISA는 2018년도 신규 보안 취약점 신고포상제 운영을 통해 1,108건을 신고 받았고, 이중 총 581건에 대해 올 한해 포상(포상금 3억 1,200만원, 공동 운영사 포상 금액 5,800만원 포함)했다. 특히, 올해 신고건수는 총 1,108건으로 전년 대비 36.7%, 포상건수는 41.3% 증가하는 등 매년 증가하는 추세다. KISA는 올해까지 총 15개 민간 업체를 취약점 신고 포상제 공동 운영사로 맞이하여(2018년 12월 19일 기준) 민간 기업의 자발적 취약점 조치·관리를 유도하고 협력을 확대하고 있다.

공동 운영사는 한글과컴퓨터(’14년 2분기), 네이버(’15년 2분기), 카카오(’16년 1분기), 네오위즈게임즈(’16년 3분기), 이스트시큐리티(’17년 1분기), 이니텍(’17년 2분기), 잉카인터넷, LG전자(’17년 3분기), 지니언스, 카카오뱅크, 안랩(’17년 4분기), 하우리(’18년 1분기), 엑스블록시스템즈, 블록체인오에스(’18년 3분기), 글로스퍼(’18년 4분기) 등 15개 사로, 특히 18년 3분기에 블록체인 관련 기업 3곳이 추가됐다.

KISA는 사이버 침해사고 예방을 위해 보안 취약점은 소프트웨어·시스템 개발·도입 단계부터 보안을 적용하여 제거하고, 시스템 등에 대한 정기적인 위험분석을 통해 보안수준을 전사적으로 통합 관리할 것을 권고하고 있다.


KISA 김석환 원장은 “이번 핵 더 키사를 진행하면서, 세 가지를 염두에 뒀다”면서, “첫 번째는 민간보안을 담당하는 우리 KISA는 과연 잘하고 있는지에 대한 객관적 검증이 필요했고, 두 번째는 축구와 비교하자면 수비수가 아닌 공격수도 키워야 한다는 의견을 반영한 것이었다. 마지막 세 번째는 해외에서 활성화된 버그바운티를 비즈니스 모델로 발굴해 산업화하면 보안 강화는 물론 또 하나의 상품으로 해외수출이나 생태계 조성도 가능하다고 생각했다”고 핵 더 키사의 추진 목적을 설명했다.

“뿐만 아니라 개방형 보안취약점 찾기 대회는 일상적인 보안 활동에서 발견되지 않는 취약점을 찾을 수 있도록 보완하는 데 도움이 됩니다. 우리 인터넷진흥원은 사이버 침해사고 예방을 위해 민간 기업들이 스스로 보안 취약점을 조치하고 관리할 수 있는 모범 사례로 ‘핵 더 키사’ 성과를 적극 알리도록 하겠습니다.”

한편, 이번 핵 더 키사에는 KISA가 운영하는 5개 홈페이지, △isis.kisa.or.kr(대국민 인터넷 통계정보 제공) △isms.kisa.or.kr(ISMS 정보 및 홍보 제공) △seed.kisa.or.kr(암호이용 활성화 홈페이지) △nextpost.kr(전자문서 이용활성화 홈페이지)가 대상이었다.

KISA 이동근 침해사고분석단장은 “이번 핵 더 키사의 대상은 공공기관인 KISA가 운영하고, 보안관련 여러 기관들로부터 여러 도움을 받고 있어 큰 문제는 없을 거라 생각했다”면서, “하지만 기술적인 부분이 아닌 생각의 전환 측면에서 다양한 피드백을 받을 수 있었다”고 성과를 설명했다. 아울러 이번 핵 더 키사 대회로 보안에 대해 다시 돌아보는 계기가 됐다고 덧붙였다.
[원병철 기자(boanone@boannews.com)]

<저작권자: 보안뉴스(www.boannews.com) 무단전재-재배포금지>