[국감2016] SW취약점 포상제 실시하는 기업 고작 3곳 “부끄러운 수준”

실시간
뉴스

소프트웨어

[국감2016] SW취약점 포상제 실시하는 기업 고작 3곳 “부끄러운 수준”

디지털데일리 발행일 2016-10-07 15:53:30

최민지

URL복사

[디지털데일리 최민지 기자] 소프트웨어 취약점 신고건에 대해 직접 포상에 나선 국내 기업은 단 3곳에 불과했다. ‘버그바운디(Bug Bounty)’를 운영하며 적극적으로 취약점 개선에 나서는 글로벌 기업과 비교했을 때 부끄러운 수준이라는 지적이다.

국회 미래창조과학방송통신위원회 소속 변재일 더불어민주당 의원은 2012년부터 올해 2분기까지 민간기업의 소프트웨어 취약점을 신고한 자에게 지급된 포상금은 7억5000만원이며, 이중 한국인터넷진흥원(KISA)이 직접 지급한 금액은 5억9000만원에 달한다고 7일 밝혔다.

KISA는 지난 2014년 공동운영사 제도를 시행, 신고는 KISA에서 받더라도 포상금은 해당기업에서 납부하도록 하고 있다. 하지만 현재까지 참여한 기업은 ▲한글과컴퓨터사(2014년 2분기) ▲네이버(2015년 2분기) ▲카카오(2016년 1분기) 3개 기업에 불과하다.

변재일 의원 측은 “이처럼 우리나라 기업들의 책임 기피는 글로벌 기업인 MS, 구글, 페이스북이 자사의 소프트웨어 보안을 위해 직접 버그바운티 제도를 운영하면서 소프트웨어 취약점을 신고 받고 포상을 주는 것과 비교해볼 때 매우 부끄러운 수준”이라고 지적했다.

소프트웨어 취약점 신고포상제는 민간이 운영하는 사이트 등의 소프트웨어에 대해 아직 발견된 적 없는 신규 보안 취약점을 개인이 신고할 경우, 이를 KISA에서 위험도 및 파급도 등을 평가한 뒤 포상하는 제도로 2010년 10월 도입됐다.

포상수준은 30만원~500만원선이며 신고된 건이 보안상의 문제 등이 있을 경우 KISA는 취약점을 기업에 통보해 보안 업데이트 등을 실시할 수 있도록 운영하고 있다.

변 의원은 “KT 개인정보유출사고, 인터파크 개인정보유출사고 등 고객의 정보가 대량으로 유출되는 사고가 지속되면서 기업의 인터넷 보안 관리 등에 대한 지적이 끊이지 않고 있다”며 “정부기관이 예산으로 민간기관의 소프트웨어 보안 취약점까지 찾아주는 예산을 지원하는 것은 기업의 책임을 방기하게 할 소지가 있다”고 말했다.

이어 “중소·영세기업의 경우 정부차원에서 포상금 예산을 지원할 수 있지만, 고객의 안전한 서비스 이용 등을 위해 기업의 책임 있는 역할을 해야 한다”고 강조했다.

<최민지 기자>cmj@ddaily.co.kr