‘약 200만달러(페이스북) VS 약 9000달러(삼성전자).’
글로벌 기업이 제품과 서비스 보안을 강화하는 수단으로 ‘버그 바운티(Bug Bounty)’를 적극 이용하는 데 반해 국내는 초보적인 수준으로 나타났다.
버그 바운티는 웹 서비스나 소프트웨어 취약점을 찾아낸 사람에게 포상금을 지급하는 프로그램이다. 페이스북, 구글, 마이크로소프트 등 글로벌 기업은 세계 해커를 활용해 자사 서비스와 제품 보안 취약점을 찾는 데 투자를 아끼지 않는다. 이에 반해 국내에서 버그 바운티를 운영하는 기업은 삼성전자 한 곳인데다 포상 규모는 비교할 수준이 아니다. 버그 바운티 프로그램을 활용하는 국내외 온도차는 극과 극이다.
지난해 페이스북이 보안 취약점을 찾아준 대가로 해커에 지급한 금액은 총 150만달러(약 15억5500만원)에 이른다. 페이스북은 지난해에만 버그 바운티 프로그램으로 총 1만4763개 취약점을 신고 받았다. 이 가운데 687개는 중요한 것으로 판명돼 평균 2204달러(약 228만원)씩 지급했다. 신고 건수는 2012년과 비교해 246%나 늘었다. 페이스북은 2011년 처음 버그 바운티 프로그램을 시작해 지난해까지 총 200만달러(약 20억7000만원)를 해커에 지급했다.
구글도 약 200만달러를 버그 바운티로 지급했다. 구글은 2010년부터 각종 보안 취약점을 찾아내는 사람에게 보상금을 주는 취약점 리워드 프로그램(Vulnerability Reward Program)을 운영했다. 구글은 취약점 보고는 물론이고 패치를 개발한 사람에게 5000달러 포상금을 준다. 주요한 보안 취약점을 막는 패치 보상금은 1만달러에 달한다.
이와 달리 국내 기업은 보안 취약점 찾기에 소극적이다. 2012년 삼성전자가 버그 바운티 프로그램 운영을 시작했다. 그마저 ‘스마트TV’에 한정이다. 스마트폰을 비롯해 다른 분야는 버그 카운티 제도가 없다. 삼성전자 스마트TV 버그바운티 사이트에 따르면 취약점을 찾아 보고한 후 포상을 받은 사람은 9명이다.
삼성전자는 주요한 취약점으로 판명되면 1000달러(약 103만원)를 준다고 명시했다. 명예의 전당에 오른 9명이 1000달러씩 받은 것으로 계산하면 삼성전자는 약 9000달러(약 933만원)를 투자한 셈이다. 삼성전자는 일부 중요 취약점은 1000달러 이상을 지급한다고 명시했지만 구체적 금액은 알려지지 않았다.
이외에 국내 유명 포털서비스를 비롯해 통신사 등은 버그 바운티 프로그램을 전혀 운영하지 않는다.
김승주 고려대 정보보호대학원 교수는 “국내 기업은 제품이나 서비스 보안 취약점을 찾아 제보하면 고마워하지는 못할망정 오히려 간섭하지 말라거나 외국 해커와 국내 해커를 차별하는 수준 이하의 반응을 한다”고 지적했다. 김 교수는 “버그 바운티는 해커를 보안전문가로 활용해 제품 보안성을 강화하는 선순환 구조를 만든다”며 “기업은 보상금을 대폭 늘리고 국내외 해커 차별을 없애며 지속적인 해킹콘퍼런스 지원에 힘써야 한다”고 덧붙였다.
주요 기업 버그 바운티 현황
김인순기자 insoon@etnews.com