해커들이 가장 고민하는 부분 중에 하나가 바로 찾아낸 취약점을 어떻게 처리하느냐의 문제다. 한국은 이 부분이 제대로 되지 않고 있기 때문에 기업들은 해커들로부터 자사 제품이나 서비스 그리고 웹사이트의 취약점 정보를 받지 못하고 있다. 이렇게 되면 과연 누가 손해를 보게 되는 것일까. 결론은 뻔하다. 기업들이 손해를 보는 것이다. 찾아낸 취약점을 처리하는 방안에 대해 여러 전문가들의 의견을 들어봤다.
 
◇김휘강 고려대 교수=김휘강 고려대학교 정보보호대학원 교수는 “TippingPoint의 ZDI 모델이 사실 가장 바람직한 모델이라 생각한다. 취약점을 구매해서 자신들의 IDS/IPS에 반영해주고 그것을 통해 제품의 가치를 높이는 순환생태계가 있는 것이 제일 좋겠다”며 “현재는 생산자(zeroday attack , Exploit제작자 및 취약점 발견자)들은 있는데 유통채널이 마땅히 없다. 있다 하더라도 충분한 보상이 되지 않으니) black market으로 zeroday가 유통되는 것”이라고 지적했다.
 
김 교수는 “공공기관에서 취약점 발견시 보상을 할 떄 더 적정가를 제시해 주는 것이 바람직하다.
취약점이라는 것이 남이 발견해 놓은 것을 보면 별것 아닌 것 같은데 라고 생각할지 몰라도 발견하기까지 드는 노력은 엄청나게 크다”며 “적정가를 산정하는 것이 단일 기관에서 하기 어렵다면 국내 보안전문가 여러 명이 평가단을 구성해 발견된 취약점을 평가해 주고 적정 감정가를 부여하는데 도움주는 모델도 가능할 것”이라고 조언했다.  
 
또 “좀 먼 상상이기는 하지만 국가·공공기관에서는 중계인 역할(escrow)을 해서 취약점 정보 제공자와 취약점 정보 구매자를 연결해 주고, 일정 가격수준은 지불을 보장해주되 필요하다면 옥션 방식으로 취약점 구매자가 구매하도록 하는 것도 좋지 않을까. 아니면 우선 국가가 선 구매한 뒤 보안업체나 필요한 기업들에게 기술이전을 해주는 모델도 괜찮을 것 같다”고 덧붙였다.
 
◇국내 해커=익명을 요구한 국내 유명 해커는 “국내에도 외국의 익스플로잇허브(Exploithub)같은 것을 벤치마킹해서 익스플로잇 판매를 할 수 있는 비지니스 모델이 나오거나, 국가에서 이런 것들을 주도해서 했으면 좋겠다”며 “취약점 판매에 대해서는 긍정적”이라고 평했다.
 
◇안랩 장상근 연구원=장상근 안랩 전략제품개발실 주임연구원은 “해커 입장에서의 익스플로잇 판매를 한다는 것은 취약점을 발견하고 이를 증명하기 위해 익스플로잇을 제작한 노력과 시간에 대한 정당한 보상을 받는 것이다. 하지만 아직 국내 상황은 해외 상황과는 다른 상황”이라며 “예를들어 구글에서는 취약점 포상금 프로그램(Vulnerability Reward Program)을 운영하면서 보다 안전한 소프트웨어를 만들어가는 사례도 있으며 ZDI, iDefense 등의 해외 보안업체들은 해커들에게 취약점을 구매해 고객사의 취약점을 점검하고 솔루션을 제공하는 것을 성공적으로 비즈니스화 시킨 사례들도 있다”고 밝혔다.
 
반면 “국내 소프트웨어 산업구조는 SI 구조로 하청 구조의 생태계를 띄고 있어 짧은 시간안에 원하는 소프트웨어를 개발해야 하기 때문에 굉장히 많은 버그들이 발생하고 소프트웨어 유지보수 비용도 만만치 않은 상황”이라고 지적하고 “이러한 문제를 개선하기 위해서 소프트웨어 개발 전후 과정에서 자체적인 개발자들로 코드 리뷰를 해서 코드를 검증해야 한다. 하지만 개발자와 해커가 보는 관점과 생각이 다르기 때문에 해커들에게 정당한 보상을 하고 개발자와 해커가 상호보완적으로 취약점을 발견하고 증명하고 개선하는 작업이 된다면 보다 안전한 소프트웨어를 만들어 낼 수 있을 것”이라고 강조했다.
 
또 장 연구원은 “지속적으로 안전한 소프트웨어 품질을 유지하기 위해 소프트웨어 개발 업체에서는 구글처럼 취약점 포상금 프로그램(Vulnerability Reward Program)을 운영하기 위한 예산을 확보해 자사의 소프트웨어의 신뢰성을 높이는 노력을 꾸준히 해야 한다”고 밝히고 “그리고 국내 소프트웨어에서 발견되는 취약점에 대해 DB화 작업이 미흡한데 이에 대한 노력도 요구된다”고 지적했다.
 
◇박천성 비스트랩 맴버=박천성 비스트랩(국내 해커그룹 / 충남대학교) 맴버는 “익스플로잇 판매는 당연히 이루어 질 수 있다고 생각한다. 해외에서는 너무 당연한 일이라 국내에서 판매가 문제가 있다고 말하면 외국 해커들은 이해를 못하더라”며 “국내에서 판매는 법적인 문제가 애매한 것으로 알고 있다. 완전히 합법도 불법도 아닌 상태다. 고소 고발이 어느 정도 가능하고 법적인 판결은 그때그때 달라질 수 있다는 부분 때문에 대부분 불법으로 인식해 판매와 구매 사업을 하지 않는 것으로 알고 있다”고 말했다.
 
그는 “최근 KISA(한국인터넷진흥원)에서 익스플로잇 구매 사업을 시작하려는 것으로 들었는데 잘될지 모르겠다. 법적인 부분들이 해결되면 아마 자연스럽게 우리나라도 외국처럼 구매와 판매 사업이 활성화되지 않을까 생각한다”며 “그런 시장이 형성되면 구글이나 페이스북처럼 우리나라도 NHN이나 싸이월드, 네이트온 등에서 자신들의 취약점을 사는 일도 생겨날 수 있을 것이고 이런 움직임이 국내 보안을 발전시키는 길이 아닐까 생각한다”고 밝혔다.
 
덧붙여 “합법적인 인증받은 회사들이 사고 파는 것을 지지 하는 것이지 블랙마켓적 성향이 있는 회사들이 수면위로 올라오는 것을 찬성하는 것은 아니다”라고 말했다.
 
◇최상명 하우리 선행기술팀장=최상명 하우리 선행기술팀 팀장은 “익스플로잇 판매는 보안업체에서 보안을 위한 목적으로 사고 파는 것은 좋은 것 같다. 취약점을 발견해서 Exploit을 제작한 사람한테도 보상이 되고 회사 입장에서도 그것을 통해 보안강화를 할 수 있기 때문”이라며 “실제로 Exploit은 캔바스(CANVAS)나 메타스플로잇(Metasploit)과 같은 상용제품을 통해서도 함께 판매되고 있다”고 말했다.
 
최 팀장은 “다만 그것이 악의적인 사람들의 손에서 거래될 때가 문제다. 그런 것을 어떻게 감시하고 적발하냐가 관건인 것 같다”며 “국내에서도 앞으로 KISA와 같은 곳에서 취약점을 접수받아 거기에 대한 보상을 할 것이라고 했는데 구제적으로 어떤 식으로 할지에 대해서는 아직 명확하게 나오지 않고 있다”고 밝혔다.
 
◇정구홍 해커스쿨 운영자=정구홍 해커스쿨 운영자는 “0-day 및 익스플로잇 판매에 대해 당연히 찬성하는 입장이다. 버그헌팅을 공부하는 후배들에게 주로 하는 말은 국산 프로그램을 대상으로 먼저 기초적인 경험을 쌓고, 그 다음에 해외 프로그램을 공략해 보라고 말한다. 이는 그만큼 국산 프로그램에 기초적인 취약점이 많고 공격 당하기 쉬운 상황이기 때문”이라며 “하지만 국산 프로그램들의 취약함을 알면서도 유용함과 환경적 요인으로 인해 어쩔 수 없이 PC에 설치해야 하는 경우가 많다”고 지적했다.  
 
그는 “그럴 때마다 국산 프로그램의 보안적 무관심에 대한 아쉬움을 느껴왔으며 0-day 및 익스플로잇 판매가 이러한 문제점을 개선할 수 있는 하나의 좋은 방법이라고 생각한다”며 “이는 취약점 제거로 인한 직접적인 보안강화 측면 뿐만 아니라 국내 개발사들로 하여금 '이제는 보안에 신경을 쓰지 않으면 안 된다'라는 인식을 심어줄 수 있을 것이다. 자사 제품에 대한 보안취약점 이슈가 사용자들의 신뢰도에 영향을 미친다는 걸 잘 알 것이기 때문”이라고 입장을 밝혔다. 
 
그리고 “소프트웨어 뿐만 아니라 하드웨어 장비에 대한 보안적 관심도 필요한 때인 것 같다”며 “
공격자들의 전략은 나날이 발전하고 있고, 만약 그들의 관심이 drive-by-download로 대표되는 최근 공격 유형을 넘어서 국산 공유기나 ADSL 모뎀과 같이 active하게 바로 공격할 수 있는 하드웨어 장비에 눈을 돌릴 경우 심각한 문제가 발생할 것”이라고 우려했다.
 
그는 “만약 0-day 및 익스플로잇 판매가 양지화되고 법적인 문제들이 보장이 된다면 국내 해커들의 연구활동이 더욱 활발해질 것이고 하드웨어 장비 등 그동안 관심을 받지 못한 대상에 대한 연구도 공개적으로 자유롭게 진행할 수 있는 좋은 계기가 될 것”이라고 환영했다.
 
더불어 “현재 국내 해커들이 가장 알고 싶어하는 부분은 법적인 문제일 것이다. 취약점 탐지를 위한 리버싱이 불법이냐에서부터 취약점 공개의 합법성, 판매의 합법성 같은 것들이 명확해 져야만 활성화 될 수 있을 것이다. 전문가 자문을 통해서 이런 것들에 대한 답을 찾아주길 바란다”며 해결해야 할 현안도 지적했다.
 
◇원유재 KISA 본부장=이에 원유재 KISA 인터넷침해대응센터 본부장은 “KISA도 오래 전부터 취약점 구매와 적절한 사용에 대해 고민하고 있다. 해커와 밴더사 간의 직거래가 이루어지면 좋겠지만 이 부분이 이루어지지 않고 있으니 KISA가 중간에서 역할을 해야 한다”며 “문제는 취약점에 대한 적정 포상금액을 어떻게 산정하느냐가 문제”라며 “특정 밴더에 영향을 주는 것이라면 밴더가 구매해서 보안업데이트를 하면 좋겠지만 그런 인식이 돼 있지 않은 상황이기 때문에 KISA가 중간자적 역할을 해야 할 것이고 취약점이 국가적 차원에서 조치해야 할 수준이라면 당연히 KISA가 해커에게 보상하는 것이 맞다”고 설명했다.
 
또 “그러기 위해서는 보상금액을 산정할 수 있는 기준일 갖춰야 하고 그 기준이 모두가 공감할 수 있는 수준이 돼야 할 것”이라며 “더불어 보상금도 중요하지만 해당 취약점을 누가 찾아냈는지 크래딧을 밝혀주는 것도 중요할 것이고 구매한 취약점이 악의적으로 사용되지 않도록 보호하고 적절히 사용되도록 운영하는 것도 중요한 문제다. 이러한 체계를 KISA가 준비하고 있다. 보다 다양한 의견들을 수렴해 준비해 나가겠다”고 밝혔다.
 
◇모 기업에서 최초로 취약점 구매 시스템 마련중=현재 모기업에서 국내 처음으로 자사에서 제공하는 서비스 혹은 SW의 취약점을 해커들이 찾아주면 구매할 수 있는 프로세스를 만들고 있는 중이다. 예산도 확보 중에 있는 것으로 알고 있다. 기업들도 이러한 문화가 확산될 수 있도록 노력해야 하지만 해커들도 노력해야 한다. 너무 터무니 없는 보상금액을 바란다든지 보상금을 벌기 위해 불법적인 방법을 동원해 해킹을 시도한다든지 하는 행위는 이러한 문화의 확산을 방해하는 요인으로 작용할 것이다.
 
◇국정원, 취약점 정보 공유안해=국정원에서는 취약점 경중에 따라 해커들에게 보상금을 지급하고 있다. 대략 10만원~50만원 선으로 알려져 있다. 하지만 국정원에 제보하는 것도 좋지만 국정원의 특성상 제보된 취약점이 제대로 공유가 안된다는 단점이 있다. 국정원은 해당 기업에 취약점을 통보는 해주지만 패치가 정확히 이루어질 수 있도록 협조하는 기관이 아니다. 또 KISA와 취약점을 공유하지도 않는다. 그들 스스로의 정보축적용일 뿐이다.
 
◇기업들, 해커를 동반자로 받아들이는 문화 정착돼야=이 문제를 해결하기 위해서는 기업들이 적극적으로 취약점 구매에 나서야 한다. 국정원 보다 조금 높은 비용을 책정해서라도 신속하게 취약점을 제보받아 확실하게 패치작업을 하는 것이 기업입장에서도 유리하고 해커입장에서 크래딧 보장과 함께 패치 이후 누가 취약점을 최초 발견했는지 기사로도 나갈 수 있다. 기업들이 해커에 대한 인식이 바뀌고 구글과 페이스북처럼 해커를 동반자로 생각할 때 자사의 보안수준을 더욱 높일 수 있을 것이다.
[데일리시큐=길민권 기자]