[아이뉴스24 김국배기자] 네이버가 신규 보안 취약점 신고 포상제를 자체적으로 운영하기 시작해 주목된다. 이스트소프트도 정부 차원의 신고 포상제도를 통해 제품 보안성을 강화할 전망이다.
구글, 페이스북, 마이크로소프트(MS) 등 글로벌 기업들에 비해 더디긴 하나 소극적이던 국내 기업들이 하나 둘씩 취약점 신고 포상제를 도입하고 나선 것은 긍정적인 신호로 해석된다.
이른바 '버그 바운티(Bug Bounty)'라 불리는 보안 취약점 신고 포상제는 소프트웨어(SW)의 취약점을 찾아 신고하면 포상금을 지급하는 제도다. 해킹 등 침해사고에 악용될 수 있는 SW 결함을 빠르게 찾고 조치하기 위해 외부 전문가의 힘을 빌리는 것이다.
6일 네이버에 따르면 지난해 9월부터 오픈소스 기반 콘텐츠관리시스템(CMS)인 '익스프레스 엔진(XE)'에 대한 신규 보안 취약점 신고 포상제를 상시 시행하고 있다. 분기별로 연 4회에 걸쳐 검증된 신규 취약점에 대해 포상한다.
XE 프로젝트는 네이버 외부 개발자 지원 프로그램 'D2' 활동의 일환이다. 그간 네이버는 한국인터넷진흥원(KISA)과 'SW 신규 취약점 신고포상제'를 공동 운영해왔지만 자체적으로 운영하기는 이번이 처음이다.
지금까지 국내에서 자체적으로 버그바운티를 도입해 운영하는 기업은 삼성전자 정도만으로 알려져 있다. 삼성전자는 스마트TV를 대상으로 2012년부터 버그바운티를 자체 운영하고 있다. 삼성 스마트TV·블루레이 장치에서 발견된 하드웨어와 소프트웨어 취약점이 포상 대상이다.
그마나 국내에서 가장 활성화된 버그바운티는 미래부와 KISA가 2012년부터 운영해온 SW 신규 취약점 신고포상제다. 네이버를 비롯한 한글과컴퓨터, 카카오, 네오위즈게임즈가 공동 운영사로 참여하고 있다. SW 분야에 한정해 운영 중이나 취약점 건당 최고 500만 원까지 포상금을 지급한다.
여기에 이스트소프트가 이르면 내달 안으로 가세할 것으로 예상된다. 참여 주체가 이스트소프트가 될 지, 최근 분사한 보안 전문 자회사 이스트시큐리티가 될 지 등을 놓고 내부적으로 최종 조율 중이다.
이동연 KISA 취약점 분석팀장은 "현재 분기별로 포상이 이뤄지는데 1분기 포상금이 지급되는 3월을 기점으로 이스트소프트도 참여가 예상된다"고 말했다.
이스트소프트 관계자도 "참여를 긍정적으로 검토하고 있다"고 전했다.
국내와 달리 해외 주요 기업들은 버그바운티에 매우 적극적이다. 최근에는 SW뿐만 아니라 온라인 서비스까지 취약점 신고 범위를 확대하는 추세다.
구글은 웹 서비스, 크롬, 오픈소스 3개 분야에서 각각 버그바운티를 운영하고 있으며, MS는 2014년 9월 '오피스 365'를 대상으로 버그바운티를 시작한 후 2015년 4월 '애저' 서비스를 추가했다.
김국배기자 [email protected]
--comment--
첫 번째 댓글을 작성해 보세요.
댓글 바로가기