KISA "소프트웨어 취약점 신고, 최대 1천만원 포상"

[아이뉴스24 성지은 기자] 한국인터넷진흥원(KISA)이 소프트웨어(SW) 신규 취약점 신고에 대해 최대 1천만원의 포상금을 제공한다.

중요도가 높은 취약점을 신고할 경우, 기존보다 최대 2배 많은 포상금을 지급한다. 이에 따라 향후 취약점 신고에 대한 관심이 늘고 신고 또한 늘어날 것으로 기대된다.

KISA는 취약점 신고 포상제를 활성화하고 파급도가 높은 취약점 발굴을 촉진하기 위해 포상금의 상·하한선 조정을 추진한다고 19일 밝혔다.

SW 신규 취약점 신고포상제, 일명 버그 바운티는 보안 취약점을 악용한 침해사고를 예방하고 신규 취약점 발굴을 장려하기 위해 만들어진 제도다. 지난 2012년 10월부터 KISA에서 운영하고 있다. 제도 활성화를 위해 네이버, 카카오 등 10여개 IT 기업이 동참하고 있다.

신고 대상 취약점은 최신 버전의 SW에 영향을 줄 수 있는 신규 보안 취약점으로, 기존엔 취약점의 중요도에 따라 최소 30만원에서 최대 500만원의 포상금을 지급했다.

그러나 올해 KISA는 포상금의 상·하한선을 조정, 평가 점수에 따라 최소 5만원에서 최대 1천만원의 포상금을 지급하기로 했다. 특히 난이도에 따라 포상금에 차이를 크게 뒀다.

이번 조정에 따라 같은 점수를 받아도 신고자가 받는 포상금액에 변화가 있을 예정이다. 가령 30~35점미만에 해당되는 취약점을 신고한 경우, 기존 신고자는 30만원의 포상금을 받을 수 있었지만 앞으로 10만원을 받을 수 있다. 반면 60~65점 미만의 취약점을 신고한 사용자는 기존에 210만원의 포상금을 받았지만, 앞으로 350만원을 받는다.

신고된 취약점은 ▲보급 범위 ▲영향 범위 ▲기밀성 ▲무결성 ▲가용성 ▲피해의 심각성 ▲접근 벡터 ▲권한 요구도 ▲상호작용 정도 ▲공격의 신뢰성 ▲발굴 난이도 ▲문서 완성도 등을 중심으로 평가한다. 분기별로 평가위원회에서 제반 사항을 고려해 최종 결정한다.

KISA에 따르면, SW 신규 취약점 신고와 포상은 해마다 증가하고 있다. 지난해까지 1천597건의 취약점 평가를 통해 1천288건의 포상을 실시했다.

KISA 관계자는 "해외 등 다른 기관에 비해 500만원이란 포상금이 적다는 판단이 있었다"며 "양질의 고급 취약점을 신고받는 계기를 마련하고자 포상금을 조정했다"고 설명했다. 이어 "기존 신고포상제 운영체계에는 변동이 없다"고 덧붙였다.