데일리시큐가 주최하고 개인정보보호위원회, 한국인터넷진흥원, 한국정보보호산업협회가 후원하는 G-PRIVACY 2022가 3월 29일 더케이호텔서울 가야금홀에서 공공, 금융, 기업 개인정보보호 및 정보보안 실무자 700여 명이 참석한 가운데 성황리에 개최됐다.

최병훈 신세계디에프 CISO는 ‘KISA 버그바운티를 통한 개인정보보호’를 주제로 키노트 발표를 진행했다.

버그바운티(Bug Bounty)란 취약점 보상 프로그램(VRP:Vulnerability Reward Program)이라고도 하며, 기업의 서비스, 소프트웨어나 IT 인프라를 해킹하고 보안 취약점을 발견하여 최초로 신고한 보안 연구원에게 포상금이나 기타 다른 보상을 지급하는 크라우드소싱(crowdsourced) 기반의 침투 테스트 프로그램이다.

최병훈 CISO는 “지난해 다양한 조직에서 해킹사고 및 개인정보 유출 사고들이 발생했다. 더불어 개인정보보호위원회의 과태료 및 과징금 부과 규모와 수도 크게 증가했다”며 “특히 정보유출 사고 상당수가 악성코드에 의해 발생되고 클라우드 환경 등 새로운 IT 환경에 노출되는 상황에서 발생하고 있다. 이런 상황에 우리 조직은 안전할까라는 의문점에서부터 KISA 버그바운티(Hack the Challenge) 프로그램 참여를 고려하게 됐다”고 말했다.

이어 그는 버그바운티 참여 소감에 대해 “매년 정기적으로 모의해킹과 취약점 점검을 실시하지만 제한된 시간과 인원으로 기대할 수 있는 효과는 다소 부족하다는 생각을 갖고 있었다”며 “버그바운티는 집단지성을 이용해 기존 모의해킹과 취약점 점검에서는 찾을 수 없는 새로운 문제점들을 발견하고 서비스를 개선할 수 있는 프로그램이다. 특히 준비과정에서 조직의 정보보호 수준이 업그레이드될 수 있다는 것을 경험한 사례라고 할 수 있다”고 전했다.

신세계디에프는 버그바운티 준비과정 2개월, 점검기간 2주, 점검인력 600명, 조치기간 1개월로 진행했다.

준비기간에는 버그바운티가 왜 필요한지 경영진 설득과 KISA와 협의, 점검 대상 설정, 내부 IT 및 운영부서, 보안관제부서 등과 긴밀히 협력했다. 또 점검시에는 KISA-점검 참여 해커-신세계디에프간에 신속한 커뮤니케이션으로 서비스가 중지되는 긴급상황이 발생되지 않도록 철저히 준비했다.

이를 통해 기존 모의해킹이나 취약점 점검 대비 50% 이상의 취약점 결과물을 발견하는 성과를 거뒀다.

최병훈 CISO는 “이번 버그바운티로 기존 방식보다 50% 이상 많은 취약점들을 발견했다. 전혀 생각지도 못했던 부분에서 취약점이 있다는 것을 알게 됐다. 이후 개발과 전용장비 등을 통해 조치를 취할 수 있었다”며 “결과에 만족한다. 과정에서도 많은 것을 배우고 조직의 정보보호 역량을 강화할 수 있는 계기를 마련할 수 있었다. 특히 결과물을 경영진이 알아들을 수 있는 언어로 보고하고 보안강화를 위한 투자도 더 받을 수 있게 됐다. 취약점이 나오는 것을 무서워하거나 부끄러워할 필요가 없다. 집단지성을 통해 조직의 현 보안상황을 객관적으로 점검할 수 있는 좋은 기회다. 이런 정부 차원에서 지원하는 사업에 적극 참여해 보안을 강화하는 계기로 삼길 바란다”고 전했다.

보다 상세한 강연 내용은 아래 영상을 참조하면 된다. 강연자료는 데일리시큐 자료실에서 다운로드 가능하다.

★정보보안 대표 미디어 데일리시큐!★