IT·과학 산업 경제
정치 사회 문화·생활
전국 글로벌 연예·스포츠
오피니언 포토·영상 기획&시리즈
스페셜&이벤트 포럼 리포트 아이뉴스TV

[김국배]'버그바운티'에 눈 뜰 때

본문 글자 크기 설정
글자크기 설정 시 다른 기사의 본문도 동일하게 적용됩니다.

[아이뉴스24 김국배기자] 2013년 3·20 사이버테러, 2014년 한국수력원자력 해킹. 국내에서 발생한 굵직한 사이버 침해사고다.

이 사고들에는 공통점이 하나 있다. 바로 소프트웨어(SW) 취약점이 악용됐다는 점이다. 한수원 해킹에는 한글 워드프로세서의 취약점이, 3·20 사이버테러에는 SW 업데이트 체계 취약점이 악용됐다.

이런 침해사고를 예방하기 위해선 SW 취약점이 악용되지 않게 빠르게 찾아내 조치하는 것이 필요하다. '버그 바운티(Bug Bounty)'가 강조되는 배경이다. 버그바운티는 SW의 신규 취약점을 찾아 신고하면 포상금을 지급하는 제도다.

구글, 마이크로소프트(MS), 페이스북, 트위터 등 글로벌 IT기업들은 제품과 서비스의 취약점을 발굴해 보안성을 높이기 위해 버그바운티를 도입해 활발히 운영하고 있다.

그만큼 버그바운티의 효과는 이미 숫자로 증명되고 있다. 2013년 이뤄진 캘리포니아 대학의 버그바운티에 대한 실증연구에 따르면 SW 신규 취약점을 자체 발굴하는 것보다 버그바운티를 운영하는 것이 비용 대비 효과가 높은 것으로 확인됐다.

실제로 구글의 경우 최근 3년간 버그바운티를 통해 발견한 크롬 취약점 건수는 371건으로 자체 발굴한 263건보다 많았다. 그런데 오히려 지출 비용은 버그바운티가 약 39만 달러로 자체 발굴에 쓰인 55만 달러보다 적었다. 취약점 건당 지출 비용을 따져보면 버그바운티는 1천 달러 수준으로 2천 달러가 넘는 자체 발굴의 절반이었다.

그러나 여전히 많은 국내 기업들이 취약점을 제보하면 간섭으로 여기거나 회사 이미지를 떨어트린다며 소극적인 태도를 취한다는 게 업계 관계자들의 전언이다. 그나마 최근 네이버가 '익스프레스 엔진(XE)'에 한해서이긴 하나 자체적으로 버그바운티를 운영하기 시작하는 등 버그바운티 활성화 움직임이 보이는 것은 긍정적이다.

SW 취약점은 지속적으로 해킹 등 사이버 침해사고에 악용되고 있다. 주요 취약점들은 지하 시장에서 비싸게 거래되는 실정이다. 시스코의 '2017 연례 사이버 보안 보고서'에 따르면 사이버 공격을 당한 기업들은 매출, 고객, 사업기회가 모두 감소하는 경제적 여파를 겪는 것으로 조사되기도 했다.

이제는 더 많은 기업들이 버그바운티의 필요성에 눈을 떠야 할 때다. 버그바운티는 기업들이 제품과 서비스에 대한 보안성을 확보하는 '가성비' 좋은 방법이다.

김국배기자 vermeer@inews24.com



공유하기

주소가 복사되었습니다.
원하는 곳에 붙여넣기 해주세요.

alert

댓글 쓰기 제목 [김국배]'버그바운티'에 눈 뜰 때

댓글-

첫 번째 댓글을 작성해 보세요.

로딩중
댓글 바로가기