국내 공공기관 최초로 진행된 버그바운티(Bug Bounty) 대회가 성공적으로 마무리됐다. 공격자 관점의 정보보호 검증을 실행한 모범사례로 성과 확산이 기대된다.
한국인터넷진흥원(KISA, 원장 김석환)이 19일 서울청사에서 '핵 더 키사(Hack the KISA)' 대회 포상 시상식을 개최했다. 참가자는 KISA가 실제 운영하는 5개 웹사이트의 보안 취약점을 발견해 신고하면 파급도와 난이도 등을 평가해 포상하는 대회로, 지난달 15일부터 28일까지 약 2주에 걸쳐 진행됐다.
총 485명의 민간 보안 전문가가 참가한 이번 대회는 시작 26분 만에 최초 신고가 접수되는 등 치열한 경쟁을 벌어졌다. 그 결과 참가자 59명이 총 163건의 취약점을 발견했으며, 이 중 유효 보안 취약점 60건이 인정받아 28명에 총 2555만원의 상금을 포상했다.
KISA는 국내 공공분야에도 버그바운티 모범사례를 남기고자, 미 국방부가 2016년 개최한 '핵 더 펜타곤(Hack the Pentagon)'을 본보기 삼아 대회를 추진했다. 화이트해커의 집단지성으로 보안 취약점을 발굴하면 평소 간과하던 관리상 문제를 파악할 수 있고 악의적인 제로데이 공격의 예방도 가능하다. 구글, 마이크로소프트(MS), 삼성전자 등 글로벌 기업은 이미 관련 제도를 지속 운영한다.
최우수상을 받은 주유성씨는 “다음 대회에는 더 많은 보안 전문가들이 참여해 다함께 보안 수준을 높이고 포상도 받기를 바란다”고 소감을 밝혔다. 또 우수상을 받은 장형욱씨는 “아직 국내에는 버그바운티에 대해 정보 유출 우려 등으로 부정적·소극적인 곳이 많은 것 같다. 내년에는 여러 기관·기업의 웹사이트와 모바일 앱을 대상으로 진행되면 좋겠다”고 말했다.
KISA는 이번 대회 성과를 확산한다. 기업·기관 보안 담당자에게 부담이 될 수 있지만, 직접 실행해보면 그 이상의 소득을 거둔다는 게 KISA 설명이다. 새해에는 공동운영사도 모집해 대회를 발전시켜나갈 계획이다.
김석환 KISA 원장은 “정보보호 담당 기관으로서 우리부터 제대로 하고 있는지 검증받아야 한다고 생각했다. 또 다양한 사이버보안 상황에 대응하려면 수비수뿐 아니라 공격수도 육성할 필요성을 느꼈다”면서 “버그바운티로 더 많은 제품과 서비스가 보안 수준을 높임으로써 산업발전과 해외수출에도 도움 되기를 바란다”고 말했다.
팽동현기자 paing@etnews.com