해외 IT기업들 적극 도입.. MS, 건당 1억원 넘게 지급
국내에선 2곳만 도입 포상금 103만원 수준 그쳐.. 외부인이 문제 발견해도 전달창구조차 없는게 현실
#. 지난 2월 마이크로소프트(MS)는 최신 인터넷 익스플로러(IE)에서 심각한 취약점을 발견한 제보자에게 12만5000달러(약 1억4000만원)의 보상금을 지급했다. 페이스북은 2011년 처음 버그바운티 프로그램을 도입해 지난해까지 총 200만달러(약 22억원)를 해커에게 지급했다. 어도비 역시 최근 어도비 플래시, 어도비 리더 등 프로그램에서 발견한 보안취약점을 신고하면 보상금을 지급하겠다고 발표하면서 버그바운티 운영에 동참했다.
최근 전세계적으로 해킹 등 사이버 위협이 급증하면서 글로벌 정보기술(IT) 기업들이 제품과 서비스 보안을 강화하는 수단으로 버그바운티를 적극 활용하고 있다.
반면 국내에서는 버그바운티라는 제도조차 생소할 정도여서 IT분야 보안에 대한 투자와 관심이 여전히 미흡하다는 지적을 받고 있다.
13일 관련업계에 따르면 MS, 페이스북, 구글 등 등 글로벌 IT업체들이 수억원을 들여 자신들의 서비스나 제품을 해킹해 성공한 사람에게 상금까지 주는 '버그바운티' 제도를 운영하는 사례가 늘면서 버그바운티 제도가 트렌드로 자리잡고 있다.
반면 국내에서는 삼성전자가 일부 제품에 버그바운티 제도를 활용할 뿐 대부분의 기업들은 도입에 소극적이어서 사이버 위협에 대한 효율적 대응체제를 갖추지 못하고 있다는 지적이 확산되고 있다.
■글로벌 기업들 "해커 대환영"
구글은 올해 구글의 버그바운티 영역을 모바일 애플리케이션(앱)까지 확장키로 했다. 이를 통해 현재 구글이 개발해 구글 플레이와 아이튠스에 등록한 모바일 앱들까지 취약점 보상 프로그램의 테두리 안에 들였다.
게다가 구글은 버그바운티 영역 확대는 물론 보다 질 높은 취약점 발견을 이끌어 내겠다며 '선행 보상제도'를 운영키로 했다. 버그바운티를 노리는 사람들이 연구를 시작하기 전부터 조건 없이 보상금을 먼저 지급한다는 것이다. 지난해 구글은 버그바운티를 통해 200여명의 보안 전문가로부터 총 500개 이상의 취약점을 지적받았다.
구글은 "버그바운티로 찾아낸 취약점의 절반 이상이 크롬 베타버전 향상 등 보안 강화에 큰 보탬이 됐다"며 "덕분에 사용자들의 불편을 사전에 방지할 수 있었다"고 평가했다.
■1억4000만원 vs.103만원
국내에서 버그바운티 제도를 운영하는 곳은 공공기관인 한국인터넷진흥원(KISA)과 삼성전자뿐이다.
민간기업 중에는 삼성전자가 유일하게 스마트TV에 대해서만 버그바운티 제도를 시행하고 있다. 건당 포상금은 1000달러(약 103만원)이다.
개인정보를 많이 다루는 포털사이트나 통신사 등은 버그바운티 프로그램을 전혀 운영하지 않고 있다. 심지어 외부 보안 전문가들이 통신사나 포털업체의 보안취약점을 발견하더라도 해당 기업 보안 책임자에게 취약점을 전달할 별도의 창구조차 제대로 갖춘 기업을 찾아보기 힘들다는 게 보안전문가들의 지적이다.
KISA는 지난 2012년부터 해외의 버그바운티를 모티브로 '취약점 신고 포상제'를 운영 중이다. KISA는 지난해 신규 취약점 중 평가를 거쳐 177건에 대해 1억6430만원을 포상했으며 올해 포상금 예산은 2억3000만원으로 책정됐다.
bbrex@fnnews.com 김혜민 기자
※ 저작권자 ⓒ 파이낸셜뉴스, 무단전재-재배포 금지