'액티브X·IoT' 이슈에 집중되는 SW취약점 신고..매년 증가

소프트웨어 취약점 신고 포상제 운영 현황. 한국인터넷진흥원(KISA) 제공

소프트웨어(SW) 보안 취약점 신고가 매년 증가하는 가운데 포상건수는 당해 화제가 되는 SW 분야에 집중된 것으로 나타났다.

4일 한국인터넷진흥원(KISA)에 따르면 올해 상반기 SW 보안 취약점 신고 건수는 383건으로 지난해 같은 기간보다 32% 늘어났다.

제도 안착에 따른 영향이라는 분석이 다수인 가운데 일각에서는 올해 상반기 IP카메라 해킹 사고 및 랜섬웨어 사고 등 각종 보안사고가 끊이지 않아 전년보다 급증했다는 분석도 나온다.

KISA 관계자는 “보안이 중시되는 풍토 속에 매년 신고건수가 늘어나고 있다”고 말했다. 평가건수와 포상건수도 작년 같은 기간보다 각각 6건, 8건 증가해 238건과 190건을 기록했다. 매년 평가 및 포상 건수도 증가해 양질의 취약점 신고가 확대되는 것으로 풀이된다.

신고 분야는 당해 이슈와 밀접한 관련이 있는 것으로 확인됐다. KISA가 특정 분야의 집중 신고 기간을 지정하는 등 제도적인 뒷받침과 함께 이용자의 관심도 화제가 되는 SW로 쏠렸기 때문이다.

핀테크 활성화와 함께 액티브X 제거가 이슈화된 2014년에는 액티브X 관련 신고가 152건으로 가장 많았으며, 홈캠·인공지능(AI) 스피커 등 각종 사물인터넷(IoT) 기기가 등장하고 확대된 2015년과 2016년에는 IoT 관련 신고건이 130건·362건으로 가장 많은 비중을 차지했다. 올해는 1분기에만 IoT 관련 신고가 99건 이뤄졌다.

신고 포상 규모도 매년 확대됐다. 제도 초기인 지난 2013년 한 해 KISA가 지급한 포상액은 1억685만원이었지만 작년에 지급된 두 배 이상 늘어난 2억5065만원이었다.

여기에 2014년부터 시작한 공동운영사의 포상액까지 더하면 작년 포상액은 3억원에 육박한다.

공동운영사 역시 매년 증가했다. 지난 2014년 한글과컴퓨터를 시작으로 네이버(2015년), 카카오·네오위즈게임즈(2016년), 이스트시큐리티·이니텍(2017년) 등 총 6개사가 참여하고 있다.

보안업계 관계자는 “개발단에서 확인하지 못한 취약점을 확인해 민간의 참여로 보안사고를 예방한다는 점에서 의의가 있다”고 평가했다.

한편 SW 신규 취약점 신고보상제는 개발사에서 미처 확인하지 못한 신규·업데이트 버전 SW의 취약점을 보완하기 위해 도입됐다.

신고포상금은 신고 당시 보안 업데이트가 나오지 않은 SW 취약점 중 실제 공격에 악용 시 다수 국민에게 피해를 줄 수 있는 건에 대해 지급된다.

박종진기자 truth@dt.co.kr