한국인터넷진흥원(KISA)는 1년에 4번, 분기별 1회 포상하고 있는 보안 취약점 신고 포상제 공동운영기업 참여를 확대하고 KISA 홈페이지 해킹 대회인 '핵더키사'를 4·4분기에 추진한다고 2일 밝혔다.
■ 취약점 신고 포상제, 성과 가시화
구글, 마이크로소프트(MS) 등 해외 주요 기업들은 자사 제품, 서비스의 취약점 발굴 및 보안강화를 위해 다양한 버그 바운티 프로그램을 운영하고 있다. 자체 도입이 어려운 경우 해커원, 버그크라우드 등 버그 바운티 플랫폼 서비스를 통해 위임, 운영하기도 한다. 버그 바운티 대회 등을 통해 수억원의 상금도 부여하고 있을 정도로 활성화 돼 있는 제도다.
국내에서도 필요성을 인식하고 KISA가 2006년 보안 취약점 신고 포상제를 운영했지만 당시에는 포상금이 지급 되지 않았다. 2012년 정부 지원을 받아 포상금을 지급하기 시작했다. 공동운영사 제도를 도입, 2014년 한글과컴퓨터를 필두로 네이버, 카카오, 네오위즈게임즈, 이스트시큐리티, 이니텍, 잉카인터넷, LG전자, 지니언스, 카카오뱅크, 안랩, 하우리, 엑스블록시스템즈, 블록체인오에스 등 14개 사가 참여하고 있다.
실제 한글과컴퓨터의 경우 2014년 취약점 신고건수가 25개에 달했는데 2015년 18건, 2016년 17건, 2017년 2건, 2018년 3건으로 크게 줄어드는 등 보안성 제고 측면에서 가시적인 성과를 내고 있다.
■ 화이트 해커 대회 '핵더키사' 도입
KISA의 포상금은 영세 소기업을 대상으로 제공되기 때문에 어느정도 규모가 있는 기업이라면 포상제 공동운영기업으로 참여해야 한다. 하지만 다수의 기업이 참여에 미온적인 입장을 보이고 있다. 이에 2014년 KT, 2015년 뽐뿌, 2017년 여기어때 등 홈페이지 취약점으로 인한 개인정보유출 사고가 터지고 있으며 컨텐츠 위변조 사고가 지속적으로 발생하고 있다. 기업 참여형 서비스 취약점 발굴 모델이 시급한 이유다.
KISA는 화이트 해커 연계 서비스 취약점 발굴 모델을 개발하기 위해 '핵더키사'를 시행한다. 핵더키사는 KISA홈페이지를 대상으로 모의해킹을 진행하고 발견된 취약점을 신고, 평가 후 시상하는 서비스 취약점 신고 포상제 대회다.
KISA 관계자는 "기업들은 미쳐 찾지 못한 취약점을 집단지성 체계로 찾을 수 있으니까 보안성을 제고하고 비용도 절감 할 수 있다"라며 "핵더키사는 보안을 과시하기 위한 이벤트가 아니라 재야의 고수들과 상호 협력해나가는 모델을 만들겠다는 것으로 '핵더카카오' 등으로 확대 시켜나가고 싶다"라고 말했다.
true@fnnews.com 김아름 기자
※ 저작권자 ⓒ 파이낸셜뉴스, 무단전재-재배포 금지