한국인터넷진흥원(KISA)이 한국형 버그바운티(소프트웨어 신규 취약점 신고포상) 제도를 웹 서비스로 확대한다.
'핵 더 키사(Hack the KISA·키사를 해킹하라)' 통해 웹 서비스 버그바운티 플랫폼을 만든다. 집단지성을 활용한 보안 취약점 발견·강화 체계를 민간으로 확대한다.
이동근 한국인터넷진흥원 침해사고분석단장은 “국내 보안 취약점 신고 포상제도는 2006년부터 시작했지만 보편화, 활성화에는 부족했다”면서 “화이트해커 활동을 늘리고 기업 보안수준을 높이는 마중물이 되도록 '핵 더 키사' 를 준비한다”고 2일 말했다.
보안취약점 신고포상제는 소프트웨어(SW)또는 서비스(홈페이지) 취약점을 찾아낸 사람에게 포상금을 지급하는 제도다. 해외서는 버그바운티(Bug Bounty)로 불리며 구글, 마이크로소프트(MS), 애플 등은 해당 제도를 활용한다.
KISA는 4분기 목표로 '핵 더 키사'를 진행한다. 미국 국방부 주관 웹사이트 신고 포상제 '핵 더 펜타곤(Hack the Pentagon)에서 아이디어를 얻었다. 홈페이지 취약점으로 2014년 KT, 2015년 뽐뿌, 2017년 여기어때 등 개인정보유출·콘텐츠 위변조 사고가 발생했다.
법적 논란으로 웹 서비스 취약점 신고서비스는 제대로 활성화 되지 못했다. 정부통신망법 제48조에 따르면 '누구든 정당한 접근권한 없이 또는 허용된 접근권한을 넘어 정보통신방에 침입해서는 안 된다'고 명시했다. 어길 시 5년 이하 징역 500만원 이하 벌금이 부과되며 미수범도 처벌 대상에 포함되는 등 엄격한 법이 적용되기 때문이다. 보안 취약점 신고포상제는 SW솔루션만이 대상이다.
KISA는 기업 참여형 서비스 취약점 발굴로 기업 스스로 보안 수준을 향상 하도록 유도한다. 이 단장은 “KISA 홈페이지 대상으로 모의 해킹을 진행하고 발견된 취약점을 KISA에 신고, 평가 후 시상하는 방식으로 핵 더 키사를 진행할 계획”이라면서 “취약점 신고 포상제도를 민간에도 활성화 되도록 KISA가 하나의 플랫폼을 만들어 보여주는 것”이라고 덧붙였다.
KISA는 2006년부터 'SW 취약점 신고포상제도'를 운영한다. 한글과컴퓨터를 시작으로 카카오, LG전자, 안랩 등을 비롯해 올해 하우리, 엑스블록시스템즈 등 14개 기업이 공동운영사로 참여한다. 취약점 신고 활성화 위해 포상금액을 기존 500만원에서 올해 1분기 1000만원으로 확대했다.
정영일기자 jung01@etnews.com