국내 버그 바운티, 보안기업만 '열심'?

[아이뉴스24 성지은기자] 소프트웨어(SW) 신규 취약점 신고포상제, 일명 버그 바운티(Bug Bounty)에 참여하는 기업이 확대되고 있다.

최근 보안기업 하우리가 12번째 버그 바운티 참가기업으로 이름을 올리면서 제도가 활성화되는 모습이나, 참여기업의 절반이 보안기업이라는 점에서 전체 기업으로의 확산에 한계가 있다는 지적이다.

과거 보안SW가 해킹 통로로 악용됨에 따라 보안강화에 대한 인식이 높아져 보안기업의 참여가 늘었으나, 인식제고 등을 통해 다양한 기업이 버그 바운티에 참여하도록 장려해야 한다는 목소리가 나온다.

30일 한국인터넷진흥원(KISA)에 따르면, KISA에서 운영하는 버그 바운티 제도에 참여하는 기업 12곳 중 6곳이 보안기업인 것으로 나타났다. 이스트시큐리티, 이니텍, 잉카인터넷, 지니언스, 안랩, 하우리 등 6개 보안기업이 버그 바운티에 참여하고 있다.

버그 바운티는 보안 취약점을 악용한 침해사고를 사전 예방하고 신규 취약점 발굴을 장려하기 위해 만들어진 제도다. 지난 2012년 10월 부터 KISA에서 운영하고 있다. 2016년까지 참여기업은 4곳에 불과했지만, 지난해부터 8개 기업이 버그 바운티에 신규 참여하면서 제도가 활성화되고 있다.

KISA에 따르면, 지난해까지 총 422명의 신고자가 2천303건의 보안 취약점을 신고했다. 또 1천597건의 취약점 평가를 통해 1천298건의 포상을 실시했으며, 지난해까지 누적 포상 금액이 9억3천690만원에 달했다.

◆"버그 바운티 확산 위해 인식제고 등 필요"

다만 버그 바운티에 참여하는 기업이 보안기업에 치중돼있어 인식 제고와 이에 따른 제도 활성화가 필요하다는 목소리가 나온다.

보안업계 관계자는 "보안기업들은 인식제고 측면에서 솔선수범해 버그 바운티 제도에 참여하고 있지만, 아직 사회 전반으로 버그 바운티가 확산되지 못하고 있다"고 지적했다.

삼성전자, LG전자, 네이버 등 대기업은 버그 바운티 플랫폼 제공업체 '해커원' 등을 통해 자체 프로그램을 운영하고 있지만, 대다수 기업은 버그 바운티 에 대한 인식조차 부재하다는 게 업계 설명이다.

또 신규 취약점이 발견될 경우 보안을 강화하는 측면에서 긍정적이나, 기업 입장에서는 '보안이 취약하다'는 부정적인 이미지로 비칠 수 있어 참여를 주저하는 것으로 나타났다.

보안 취약점을 발견해 선의로 해당 사실을 기업에 신고했는데, '불법 해킹'이라며 신고자를 오히려 고발한 사건도 있었다. 현행 정보통신망법 48조 1항은 '누구든지 정당한 접근권한 없이 또는 허용된 접근권한을 넘어 정보통신망에 침입해서는 안 된다'고 규정하고 있다. 보안 취약점을 제보해도 불법으로 낙인찍힐 가능성이 높다는 의미다.

이희조 고려대 컴퓨터학과 교수는 "버그 바운티에 참여해 보안 취약점을 신고받으면 '보안에 문제가 있어 신고를 받았구나'라고 생각할 게 아니라 '해당 기업이 적극적으로 대처하며 보안에서 앞서 나가는구나'라고 인식을 개선하는 일이 필요하다"고 말했다.

또 "사물인터넷(IoT), 자율주행 자동차 등 SW가 새롭게 접목되는 분야가 확대되고 있다"며 "개발단계에서 보안을 고려하고 버그 바운티 등을 통해 취약점을 개선하는 노력이 필요하다"고 덧붙였다.

한편, 버그 바운티 활동이 저조한 국내와 다르게 해외에서 버그 바운티는 하나의 제도로 자리잡고 있는 것으로 나타났다. 특히 미국 중심으로 버그 바운티 포상제도가 발전하고 있다.

해커원에 따르면, 지난해 미국 소재 기업은 버그 바운티 포상금으로 1천597만달러(한화 170억원) 가량을 지출한 것으로 집계됐다. 이는 전 세계 버그 바운티 포상금 2천363만달러(한화 252억원)의 약 67%에 달한다.