“KISA를 털어라”...공공 최초 버그바운티 대회 성료

핵 더 KISA 대회 포상 시상식서 수상자들이 기념촬영을 하고 있다. (왼쪽부터) 이태양(장려), 강우원(장려), 김석환 원장, 주유성(최우수), 장형욱(우수)
핵 더 KISA 대회 포상 시상식서 수상자들이 기념촬영을 하고 있다. (왼쪽부터) 이태양(장려), 강우원(장려), 김석환 원장, 주유성(최우수), 장형욱(우수)

국내 공공기관 최초로 진행된 버그바운티(Bug Bounty) 대회가 성공적으로 마무리됐다. 공격자 관점의 정보보호 검증을 실행한 모범사례로 성과 확산이 기대된다.

한국인터넷진흥원(KISA, 원장 김석환)이 19일 서울청사에서 '핵 더 키사(Hack the KISA)' 대회 포상 시상식을 개최했다. 참가자는 KISA가 실제 운영하는 5개 웹사이트의 보안 취약점을 발견해 신고하면 파급도와 난이도 등을 평가해 포상하는 대회로, 지난달 15일부터 28일까지 약 2주에 걸쳐 진행됐다.

총 485명의 민간 보안 전문가가 참가한 이번 대회는 시작 26분 만에 최초 신고가 접수되는 등 치열한 경쟁을 벌어졌다. 그 결과 참가자 59명이 총 163건의 취약점을 발견했으며, 이 중 유효 보안 취약점 60건이 인정받아 28명에 총 2555만원의 상금을 포상했다.

KISA는 국내 공공분야에도 버그바운티 모범사례를 남기고자, 미 국방부가 2016년 개최한 '핵 더 펜타곤(Hack the Pentagon)'을 본보기 삼아 대회를 추진했다. 화이트해커의 집단지성으로 보안 취약점을 발굴하면 평소 간과하던 관리상 문제를 파악할 수 있고 악의적인 제로데이 공격의 예방도 가능하다. 구글, 마이크로소프트(MS), 삼성전자 등 글로벌 기업은 이미 관련 제도를 지속 운영한다.

최우수상을 받은 주유성씨는 “다음 대회에는 더 많은 보안 전문가들이 참여해 다함께 보안 수준을 높이고 포상도 받기를 바란다”고 소감을 밝혔다. 또 우수상을 받은 장형욱씨는 “아직 국내에는 버그바운티에 대해 정보 유출 우려 등으로 부정적·소극적인 곳이 많은 것 같다. 내년에는 여러 기관·기업의 웹사이트와 모바일 앱을 대상으로 진행되면 좋겠다”고 말했다.

KISA는 이번 대회 성과를 확산한다. 기업·기관 보안 담당자에게 부담이 될 수 있지만, 직접 실행해보면 그 이상의 소득을 거둔다는 게 KISA 설명이다. 새해에는 공동운영사도 모집해 대회를 발전시켜나갈 계획이다.

김석환 KISA 원장은 “정보보호 담당 기관으로서 우리부터 제대로 하고 있는지 검증받아야 한다고 생각했다. 또 다양한 사이버보안 상황에 대응하려면 수비수뿐 아니라 공격수도 육성할 필요성을 느꼈다”면서 “버그바운티로 더 많은 제품과 서비스가 보안 수준을 높임으로써 산업발전과 해외수출에도 도움 되기를 바란다”고 말했다.

팽동현기자 paing@etnews.com