[아이뉴스24 최은정 기자]최근 글로벌 IT기업 등이 잇따라 버그바운티(bug bounty) 프로그램을 공개하고 있는 가운데, 국내도 공공기관 등을 중심으로 보안 취약점 신고포상제가 확대된다.
버그바운티는 기업 서비스·제품·소프트웨어(SW) 등 보안 취약점을 찾아 신고하면 포상하는 제도다. 보안 수준을 높이기 위해 일종의 집단지성을 활용하는 것으로, 기업·기관은 사용자가 발견한 취약점을 선제적으로 조치할 수 있어 대상이 확대되는 추세다.
17일 관련 업계에 따르면 한국인터넷진흥원(KISA), 금융보안원 등 공공기관을 중심으로 국내 버그바운티 프로그램이 올해 확대 운영된다.
한국인터넷진흥원(KISA)은 2012년 10월부터 다양한 기업과 함께 SW 신규 보안 취약점 신고포상제를 실시하고 있다. 지난 2014년부터 공동운영사가 꾸준히 늘어 지난해 말 17개 기업 수를 달성했다.
2014년 한글과컴퓨터부터 2016년 카카오, 네오위즈게임즈, 2017년 이스트시큐리티, 이니텍, 잉카인터넷, LG전자, 지니언스, 카카오뱅크, 안랩, 2018년 하우리, 엑스블록시스템즈, 블록체인오에스, 글로스퍼까지 참여 기업이 확대되고 있는 것.
특히 지난해 1분기에는 SGA솔루션즈, 3분기에는 휴네시온과 소테리아 포함 3개사가 공동운영 신규 참여 협약을 체결하기도 했다.
신고건수와 포상건수 역시 매해 증가하는 추세다. 2012년 신고건수 23건 중 14건이, 2013년에는 179건 중 89건이 포상받았다. 이듬해인 2014년에는 274건 신고건수 중 177건이 채택됐다. 지난해에는 1천466건 신고건 중 762건이 포상건수에 포함됐다는 게 KISA 측 설명이다.
올해는 내달 신규 보안 취약점 포상제를 진행할 예정이다. 최신 버전의 SW에 영향을 줄 수 있는 신규 보안 취약점(제로데이 취약점)을 중심으로 접수 받는다.
지급되는 포상금 역시 확대한다. 올해 포상금은 취약점 건당 최소 5만원~최대 1천만원으로, 지난 2018년 규모가 늘었다. 기존에는 최소 30만원~최대 500만원까지 지원했다.
이동연 KISA 취약점분석팀장은 "앞으로 공동 운영사를 확대하고, 기업이 자발적으로 참여할 수 있도록 장려하는 것이 목표"라고 말했다.
금융보안원의 경우도 지난해 6월~7월 단독으로 1회 진행한 금융권 버그바운티를 올해 2회로 확대 실시한다.
정영석 금보원 침해대응부 팀장은 "올해 금보원에서는 버그바운티 프로그램을 상반기와 하반기 2회 개최 예정"이라며 "다만 자세한 일정과 신고 대상 등은 미정"이라고 말했다.
지난해에는 전 국민을 대상으로 은행 웹사이트에서 인터넷 뱅킹시 다운로드 되는 논엑티브 엑스(Non-ActiveX) 관련 SW 취약점 신고제를 진행했다. 당시 26건의 취약점 신고가 들어온 것으로 집계됐다.
최은정 기자 [email protected]
--comment--
첫 번째 댓글을 작성해 보세요.
댓글 바로가기