[디지털데일리 최민지기자] 한국인터넷진흥원(원장 김석환, KISA)은 ‘핵 더 키사(Hack the KISA)’ 시범사업을 통해 서비스 취약점 발굴 모델을 확산한다고 2일 밝혔다.
이와 관련 KISA는 올해 4분기 KISA 홈페이지를 대상으로 모의해킹을 진행하고 이를 평가 후 시상하는 서비스 취약점 신고 포상제를 추진한다. 포상 대상 홈페이지는 참가신청 마감 후 참가자에게 일괄 통보할 예정이다.
이번 시범사업은 기업 참여형 서비스 취약점을 발굴을 통한 기업의 자발적 보안수준 향상을 유도하기 위해 마련됐다. 그동안에는 제품·솔루션에 제한된 보안 취약점 신고포상제였다는 지적에 기업이 참여하는 화이트해커 연계 서비스 취약점 발굴 모델을 개발하겠다는 것이다.
이에 취약점 발굴이 필요한 서비스(홈페이지)를 선정하고 참가신청을 통해 정해진 기간 내에서 취약점 신고를 허용한다.
정보통신망법에 따르면 누구든지 정당한 접근권한 없이 또는 허용된 접근권한을 넘어 정보통신망에 침입해서는 안 된다. 이러한 조항으로 운영 중인 웹서비스를 대상으로 취약점 발굴 활동을 하는 것 자체가 불법으로 간주될 수 있다.
KISA는 이번 시범사업을 통해 이러한 법적 논란을 피하고 기업의 부담을 최소화할 수 있을 것으로 기대했다.
실제, 미국에서는 국방부 주관으로 국방부 웹사이트에 대한 신고 포상제인 ‘핵 더 펜타곤(Hack the Pentagon)’을 추진하고 있다. 국방부 관할 웹사이트 5곳이 대상이며 1410여명이 참가해 이벤트 시작 후 13분만에 최초 취약점을 등록한 바 있다. 총 신고건수는 1189개였다. 이 중 138개를 선정해 58명에게 7만5000달러의 포상금을 지급하기도 했다.
한국에서도 미 국방부의 웹사이트 취약점 신고포상제 모델을 벤치마킹하겠다는 것이다. 보안취약점 신고 포상제는 기존에도 운영돼 왔었다. 그러다 자사의 취약점이 공개된다는 것에 대한 거부감과 경영진 설득의 어려움 등으로 다수 기업이 참여에 미온적 입장을 취해 왔다.
이러한 가운데 홈페이지 취약점으로 인한 개인정보 유출과 콘텐츠 위변조 사건은 지속적으로 발생되고 있다. 2014년 KT를 비롯해 2015년 뽐뿌, 2017년 여기어때 개인정보 유출 사건 모두 홈페이지 취약점에서 비롯됐다.
소프트웨어 또는 서비스, 홈페이지 등의 취약점을 찾아낸 사람에게 포상금을 지급하는 보안취약점 신고포상제는 해외에서 버그바운티(Bug Bounty)로도 불린다. 구글, 마이크로소프트(MS), 애플 등 주요 기업들이 보안강화와 제품·서비스 취약점 발굴을 위해 버그바운티 프로그램을 운영하고 있다.
KISA도 2016년부터 이 제도를 도입했고 2012년 10월부터 포상금을 지급하기 시작했다. 현재 한글과컴퓨터, 네이버, 카카오, 네오위즈게임즈, 이스트시큐리티, 이니텍, 잉카인터넷, LG전자, 지니언스, 카카오뱅크, 안랩, 하우리, 엑스블록시스템즈, 블록체인오에스 등이 참여하고 있다. 삼성전자는 자체적으로 취약점 신고포상제를 운영 중이다. 지난해에는 810건의 신고를 받아 411건을 포상했으며, KISA 포상액은 총 1억9360만원이다.
이동근 KISA 침해사고분석단장은 “2016년 이후부터 기업들이 포상금을 직접 지급하는 사례가 늘어났으며, 사물인터넷(IoT) 취약점 신고건수 급증도 포상제 제도가 큰 역할을 했다”며 “올해 1분기부터 물가상승과 화이트해커들의 불만 등을 고려해 최고 포상금액을 500만원에서 1000만원으로 상향했다”고 말했다.
이어 “이번 핵 더 키사는 보안을 과시하기 위한 행사가 아니라, 재야의 고수들과 상호협력하기 위한 모델”이라며 “지금 서비스가 잘 이뤄지고 있는 지 검증할 수 있는 기회인만큼, 기업 입장에서는 가려운 곳을 긁어줄 수 있다”고 강조했다.