check 3d gpu
바로가기
메뉴로 이동
본문으로 이동

KISA 취약점 신고포상제, 운영 현황과 개선해야 할 점 무엇인가

“기업의 취약점을 왜 국민 세금으로 보상해 줘야 하나…공공기관도 참여해야”

길민권 기자 mkgil@dailysecu.com 2018년 01월 11일 목요일

지난 2012년 10월부터 한국인터넷진흥원은 민간분야 보안취약점을 악용한 침해사고를 사전에 예방하고 전문가들의 신규 취약점 발굴을 장려하기 위해 ‘소프트웨어 취약점 신고포상제’ 일명 ‘버그바운티’를 운영해 왔다. 현재 어떤 기업들이 KISA와 버그바운티 프로그램에 동참하고 있으며 발전 방향은 무엇인지 관계자들을 만나 이야기를 들어봤다.

현재 국내외 기업들 중 자사가 직접 버그바운티를 운영하는 곳은 구글, 페이스북, 마이크로소프트, 페이팔, 삼성, 네이버, 라인, 텐센트 등이 있다. 기관으로는 KISA, IPA, CNNVD 등이 있으며 버그바운티 전문대행사로는 해커원(Hackerone), 버그크라우드(Bugcrowd) 등이 있다.

◇KISA, 올해 2억6천만원 포상금 예산 책정…공동운영사 11개 기업으로 늘어

▲ KISA SW 취약점 신고 포상제 운영 담당자. KISA 취약점분석팀 김도원 팀장(좌), 최명균 선임연구원(우)
▲ KISA 'SW 취약점 신고 포상제' 운영 담당자. KISA 취약점분석팀 김도원 팀장(좌), 최명균 선임연구원(우)
국내는 현재 KISA가 정부 예산을 통해 취약점 포상 제도를 운영하고 있으며 올해 2018년 포상금 예산은 2억 6천만원 정도 책정해 놓고 있는 상태다.

한편 KISA는 정부 재원을 통한 포상금 지급 외에도 민간기업 기업을 참여시켜 해당 기업이 직접 운영할 수 있도록 공동운영사 확대를 지속적으로 계획하고 있다. 하지만 현재 신고포상제 공동운영사로 참여하고 있는 기업은 11개 기업에 불과하다.

2014년 ‘한글과컴퓨터’가 처음 공동운영사로 참여했고 15년에는 ‘네이버’ 16년엔 ‘카카오’ ‘네오위즈게임즈’가 참여했다. 이후 2017년에 7개사가 추가 참여했다. 국내 기업들의 버그바운티 인식이 점차 높아지고 있다는 것으로 해석된다. 지난해 참가기업은 보안기업으로 ‘이스트시큐리티’, ‘이니텍’, ‘잉카인터넷’, ‘지니언스’, ‘안랩’ 등이며 일반 기업으로는 ‘LG전자’와 ‘카카오뱅크’가 참여했다. 삼성전자는 현재 국내에서 유일하게 단독으로 버그바운티 프로그램을 운영하고 있다.

KISA에 따르면, 2012년부터 2017년까지 총 누적된 신고건수는 2천303건이며 평가건수는 1천597건이다. 이중 KISA 포상건수는 1천48건이며 11개 공동운영사에 의한 포상건수는 250건이다.

또한 KISA가 12년부터 지난해까지 지급한 포상금액은 총 9억840만원으로 집계됐다. 또 공동운영사가 직접 지급한 포상금액은 1억5천230만원 규모다. KISA는 올해도 2억6천만원 정도 예산을 배정해 포상금 지급을 계획하고 있으며 공동운영사도 11개사로 늘어나면서 포상금액은 더욱 늘어날 전망이다.

한편 포상금 지급 평가와 규정에 대해 최명균 KISA 취약점분석팀 선임연구원은 “신고가 들어오면 1차 검증은 KISA 내부에서 진행하고 2차는 교수 1명, 취약점 전문가 3명, 해당업체 담당자 1명으로 구성된 평가위원회에서 최종 결정한다. 이후 해당 기업에 취약점을 전달하고 조치계획서를 받고 계획대로 이행하도록 한다”며 “또한 패치 업데이트가 완료됐어도 제보자는 120일(4개월) 동안 해당 취약점에 대해 논문이나 언론, 컨퍼런스 등에서 공개할 수 없다. 이용자들이 업데이트하는데 시간이 걸릴 수 있기 때문이다. 한편 공동운영사 관련 취약점은 영구적으로 공개할 수 없도록 규정하고 있다. 과거 이를 어긴 경우가 한번 있었는데 포상금 환수는 하지 않았지만 위반사실 서약서를 받고 1년간 KISA 버그바운티 프로그램에 참여할 수 없도록 조치한 바 있다”고 설명했다.

취약점 신고포상제 프로그램을 책임지고 있는 KISA 취약점분석팀 김도원 팀장은 “국내 소프트웨어 중심으로 많은 이용자들이 사용하는 제품의 취약점과 파급효과가 큰 취약점에 높은 포상금이 지급된다. 최하 30만원부터 최고 500만원까지 지급하고 있다. 공동운영사 취약점은 운영사들이 지급하고 이외 취약점은 KISA가 지급하고 있다”며 “지난해 7개사가 추가 참여하면서 기업들의 버그바운티 인식이 많이 개선되고 있다. 취약점을 먼저 찾아 패치하는 것이 큰 사고를 미연에 방지할 수 있고 안전한 소프트웨어를 개발하는데 큰 도움을 줄 수 있는 좋은 방법이다. 올해도 보다 많은 민간기업들이 참여할 수 있도록 섭외하고 독려해 나가겠다”고 밝혔다.

◇네이버, SW 이외 모든 서비스 대상 취약점 제보 받아…버그바운티 모범적 시행

한편 KISA 버그바운티는 대상이 국내 소프트웨어와 IoT 제품에만 한정돼 있다. 국내 해커들이 찾은 웹사이트 취약점이나 실제 운영되고 있는 서비스에 대한 취약점은 받지 않고 있다. 그래서 신고를 해도 포상금을 받을 수 없고 심사에서도 제외된다. 이유는 불법적으로 찾은 취약점이기 때문이라는 것이다. 실제 국내 많은 해커들이 기업 웹사이트에서 심각한 취약점을 발견했지만 이를 KISA에 제보하지 않고 그냥 덮어 버리는 경우가 많다. KISA의 중재 노력이 필요한 부분이 아닐까.

이에 대해 김도원 팀장은 “법의 경계가 명확하지 않기 때문에 웹취약점이나 실제 운영 서비스에 대한 취약점은 받지 않고 있다. 다만 공동운영사나 기업이 허락한 경우라면 서비스 취약점을 예외적으로 받을 수 있다”며 “현재 공동운영사 중 네이버는 유일하게 자사 소프트웨어 뿐만 아니라 웹사이트나 모바일 서비스에 대한 모든 취약점을 공식적으로 받고 있다. 국내 기업들중 가장 오픈 마인드를 갖고 모범적으로 운영하는 기업이다”라고 말했다.

◇이경문 교수 “KISA, 중개역할 잘하고 있지만 개선할 부분은…”

한편 이경문 중부대 교수(차세대보안리더 BoB 멘토)는 “KISA가 국내 버그바운티 문화 보급을 위해 중개역할을 잘 해오고 있다. 하지만 결국 가야할 방향은 기업들이 직접 운영하는 방식이 확대되어야 한다”고 밝히고 다소 개선해야 할 부분에 대해서 “1년에 평가를 4번 실시하기 때문에 취약점 제보를 한 후, 길면 3개월 뒤에나 결정이 나는 경우가 있다. 평가가 너무 늦은 감이 있다. 그 동안 취약점을 악용한 공격이 있을 수 있어 개선이 필요하다. 또 이제 취약점은 돈이 되는 세상이다. 적절한 평가와 보상이 이루어져야 하는데 평가가 일방적으로 이루어져 제보자 입장에서는 제대로 인정을 받지 못한다고 느낄 수 있다. 또 하나 화이트해커들 입장에서는 취약점 연구가 실적이 될 수 있는데 이를 4개월 혹은 영구적으로 공개할 수 없도록 한 것은 생각해 볼 문제다. 그래서 KISA에 제보하는 것에 대한 매력을 못느낄 수도 있지 않을까”라는 입장을 전했다.

◇김승주 교수 “취약점 정보, 국민 세금으로 줄 것 아니라 기업이 감당해야”

김승주 고려대 교수는 KISA 버그바운티에 대해 중요한 포인트들을 지적했다.

우선 김 교수는 “해커들 입장에서 보면 자신들이 찾은 취약점이 제대로 평가받고 그에 걸맞는 보상금을 받을 수 있느냐가 중요한 문제다. 하지만 지금 보상 수준은 열정페이 정도라고 볼 수 있다. 결국 예산문제”라며 “KISA 입장에서 버그바운티는 국민세금으로 운영하고 있기 때문에 많이 줄 수도 없다. 더욱이 일반 기업의 취약점을 찾아 준 것인데 국민세금으로 주고있다는 것이 부담이다. 결국 기업들을 유도해 자신들의 취약점은 국민 세금이 아니라 자신들이 돈을 주고 사야한다는 것을 인식시켜 줘야 한다”고 강조했다.

이어 “세계적으로 가장 유명한 폰투오운 버그바운티 대회에서도 MS, 구글, 애플 등 기업들이 거액의 상금을 주고 해커들이 발견한 취약점을 구매하는 것”이라며 “국내 기업들도 국민 세금으로 알게된 취약점을 공짜라고 인식하면 안된다. KISA도 기업 규모를 정해 영세업체에는 일정기간 한정해서 취약점을 전달하고 이후 비용을 지불하도록 유도하고 규모가 있는 기업은 당연히 비용을 지불하고 취약점을 전달한다는 기준을 마련해야 한다. KISA는 기업들이 직접 버그바운티를 운영하는데 어려움을 겪을 수 있는 취약점 접수 창구역할, 법적문제 검토, 포상금 지급 평가 등 중개기관의 역할을 하면 된다”고 덧붙였다.

한편 김교수는 현재 국가정보원이 공공기관 버그바운티를 관장하지 않고 있기 때문에 KISA에서 주요 기반시설이나 공공기관 버그바운티 중개기관 역할도 수행할 것을 강조했다. 미국이 지난해 펜타곤을 대상으로 버그다운티 대회를 열어 많은 취약점에 대해 개선을 한 것처럼 공공기관 대상 버그다운티도 꼭 필요한 부분이라는 것이다. 또 버그바운티에 참여했을 때 기업이나 공공기관 보안담당자들이 회사에서 칭찬을 받을 수 있는 당근책을 마련하는 것도 필요하다는 것.

KISA는 올해 2억 6천만원의 예산을 책정해 버그바운티를 운영할 계획이다. 공동운영사도 11개사로 늘어났다. 하지만 여전히 국내 공유기 업체, IP카메라 업체들은 국민세금으로 많은 취약점을 받고 있으면서도 참여를 하지 않고 있다. 이외 일부 백신업체들과 대기업들도 참여하지 않고 있다. 올해 KISA의 공동운영사 확대 노력과 성과를 기대해 본다.

마지막으로 라인 버그바운티 책임자 이명재 엔지니어는 지난해 말 데일리시큐 PASCON 2017 컨퍼런스에서 “버그바운티 프로그램은 해커를 고용하는 가장 좋은 방법이다. 회사의 보안을 지키는 가장 좋은 방법이기도 하다”며 “화이트 해커 참여에 의한 취약점 정보와 노하우를 배울 수 있으며 해커들은 다각도로 다양한 서비스를 보고 있기 때문에 한 곳에 발견된 서비스가 다른 곳에도 있는지 분석하게 된다. 빠른 응답과 적절한 보상으로 버그바운티를 활발히 운영해 해커들의 지속적이고 적극적인 참여를 유도하는 것이 바람직하다. 라인은 해커들의 많은 참여를 원한다”고 강조했다.

★정보보안 대표 미디어 데일리시큐!★

<저작권자 © 데일리시큐, 무단 전재 및 재배포 금지>
목록