한국인터넷진흥원(KISA)이 운영하는 버그바운티(소프트웨어 신규 취약점 신고포상제) 제도로 접수된 신고가 2500건을 넘었다. 버그바운티에 공동 참여하는 기업도 13곳으로 늘어났다. 올해 말까지 최대 18개 기업으로 확대해 버그바운티 문화를 정착한다.
22일 KISA에 따르면 취약점 신고포상제로 접수된 취약점은 지금까지 총 2676건으로 나타났다. 2012년 첫해 23건에 불과했던 취약점 신고는 2013년 179건, 2014년 274건, 2015년 321건 등 꾸준히 증가해 지난해 810건 신고가 접수됐다. 올해 1~2분기 373건 접수돼 지난해와 비슷한 수준이다.
소프트웨어(SW) 신규 취약점 신고포상제는 보안 취약점을 악용한 침해사고를 예방하고 신규 취약점 발굴을 장려하기 위한 제도다. 2012년 10월부터 KISA에서 운영한다. 제도 활성화를 위해 카카오, LG전자, 이스트시큐리티, 안랩 등 보안과 SW·블록체인 기업이 운영사로 참여한다.
버그바운티 제도는 국내서 많이 알려져 있지 않지만 구글, 마이크로소프트 등은 활발하게 운영한다. 구글은 '구글 취약점 보상 프로그램' '크롬 보상 프로그램'을 각 2010년 11월과 2011년 1월 시작했다. 페이스북도 자사 버그바운티 운영프로그램을 2011년 7월 도입했다.
마이크로소프트(MS)도 2013년 해당 제도를 운영하기 시작해 총 5개 영역에서 취약점 신고를 받고 있으며 최근 '아이덴티티 서비스' 영역을 추가했다. 기업은 취약점 발견 포상금으로 최대 20만달러(2억2700만원)를 지급한다.
국내에서는 네이버(2015년 2분기)와 삼성전자(2012년)를 제외하고 자체 버그바운티 운영 기업을 찾기 어렵다. 포상금 규모도 최대 1000만원 내외로 외국 기업과 비교해 현저하게 낮다.
KISA 관계자는 “국내 기업은 취약점을 제보하면 기업 간섭으로 인식하거나 공격행위로 간주해 이미지 실추 등 이유로 제도 도입에 소극적”이라고 설명했다.
KISA는 국내 버그바운티 운영활성화를 위해 공동 운영기업을 최대 18개까지 늘린다는 계획이다. 올해 초 하우리는 신고포상제 운영 참여 12번째 기업으로 등록했으며 이달 초 엑스블록시스템즈도 블록체인 분야에서는 처음 버그바운티 공동 운영사로 참여해 13번째 기업이 됐다.
KISA 관계자는 “올해 버그바운티 관련 예산은 지난해와 마찬가지로 2억6000만원이지만 공동 참여사가 늘어난 만큼 포상금 지급 등은 늘어날 것”이라면서 “버그바운티 활성화를 위해 올해까지 최대 18개 공동 운영사를 확보하는 것을 목표로 하고 있으며 최근 블록체인 기업 등에 많은 참여를 독려한다”고 말했다.
표 : 연도별 취약점 신고 현황
출처 : 한국인터넷진흥원(KISA) 제공
정영일기자 jung01@etnews.com
