2019-09-17 12:34 (화)
KISA, '핵 더 키사' 및 '보안 취약점 신고 포상제' 우수자 시상식 개최
상태바
KISA, '핵 더 키사' 및 '보안 취약점 신고 포상제' 우수자 시상식 개최
  • 길민권 기자
  • 승인 2018.12.19 14:00
이 기사를 공유합니다

핵 더 키사 최우수상에 주유성, 우수상에 장형욱, 장려상에 강우원, 이태양

▲ 2018 '핵 더 키사' 최우수상에는 주유성, 우수상에는 장형욱, 장려상에는 강우원, 이태양 등이 차지했다.
▲ 2018 '핵 더 키사' 최우수상에는 주유성, 우수상에는 장형욱, 장려상에는 강우원, 이태양 등이 차지했다.
한국인터넷진흥원(KISA. 원장 김석환)은 19일 가락동 서울청사에서 실제 운영 홈페이지를 대상으로 일반인이 참여해 공개적으로 취약점을 찾는 '핵 더 키사(Hack the KISA)' 대회 포상 시상식과 함께 '2018년 신규 보안 취약점 신고 포상제' 상위 우수 신고자 3명에 대한 시상식을 개최했다.

핵 더 키사 대회는 국내 공공기관 최초로 KISA가 시행한 개방형 보안 취약점 찾기 대회다. 총 485명의 보안전문가들이 참여했으며 참여자 중 59명이 총 163건의 취약점을 발견해 신고했다. KISA는 유효한 보안취약점 60건을 선정하고 28명에게 총 상금 2천555만원을 포상했다.

이번 대회는 시작 26분 만에 최초 신고가 접수되는 등 참여자들 간의 치열한 취약점 찾기 경쟁이 있었다고 한다. 핵 더 키사 최우수상에는 주유성, 우수상에는 장형욱, 장려상에는 강우원, 이태양 등이 차지했다.

시상자들은 "실제 서비스 사이트에 대한 합법적인 대회라 참여하게 됐다." "대회 운영진들이 힘들었을 것 같다." "이번 대회를 통해 공공기관 사이트 안전에 조금이나마 기여할 수 있어 뿌듯했다." "내년에는 민간 기업도 이런 대회에 참여하길 바란다." 등의 소감을 밝혔다.

김석환 원장도 "KISA도 공격자 관점에서 정보보호 수준검증을 받기 위해 '핵 더 키사' 대회를 열게 됐다. 한국도 수비수만 키울 것이 아니라 공격자도 키워야 한다. 북한의 경우 7천명에 달하는 해커가 있지만 국내는 비공식적 통계지만 500여 명 수준에 그치고 있다. 이런 인력들을 양성해야 한다. 버그바운티 프로그램들이 비즈니스화 되고 정보보호 산업 생태계에도 긍정적 영향을 미치길 바란다. 내년에는 일반 기업들도 참여할 수 있도록 준비해 보겠다"고 전했다.

◇보안 취약점 신고 포상제, 더 많은 민간기업으로 확대되길

▲ '2018년 신규 보안 취약점 신고 포상제' 최우수상에 이영훈, 우수상에 백정운, 장려상에 구사무엘 등이 수상했다.
▲ '2018년 신규 보안 취약점 신고 포상제' 최우수상에 이영훈, 우수상에 백정운, 장려상에 구사무엘 등이 수상했다.
한편 KISA는 사이버 침해사고를 사전에 예방하고 전문가들의 취약점 발굴을 장려하기 위해 '2018년 신규 보안 취약점 신고 포상제'를 실시했으며 19일 상위 우수 신고자 3명에 대한 시상식도 함께 개최했다.

수상자는 최우수상에 이영훈, 우수상에 백정운, 장려상에 구사무엘 등이 수상했다.

특히 장려상을 수상한 구사무엘은 "오랜만에 다시 취약점 찾는 작업을 업무 시간외에 별도로 시간을 내서 해 봤다. 여전히 소프트웨어 취약점이 많다는 것을 느꼈고 잘못된 패치나 패치 미흡 그리고 액티브엑스가 아직 많이 남아있다는 것을 알게 됐다. 하지만 예전에 비해 보안수준이 많이 좋아졌다는 것을 느낄 수 있는 시간이었다. 특히 금융권은 보안수준이 예정에 비해 상당히 개선된 것을 알 수 있었다"고 밝혔다.

백정운 우수상 수상자는 "IoT 제품 위주로 취약점을 찾았다. 중국산 제품들이 너무 많았고 거기에 많은 취약점이 존재하고 있다는 것을 알게 됐다"고 소감을 전했다.

이영훈 최우수상 수상자도 "올해는 네이버 서비스 위주로 취약점을 찾았다. 내년에는 네이버 뿐만 아니라 다른 포털사이트들도 참여하길 바라며 여러 민간 기업에서 적극적인 참여가 있길 희망한다"며 버그바운티에 민간기업들의 참여가 좀더 확대되길 바란다고 강조했다.

KISA는 올해 1천108건을 신고 받았으며 이중 총 581건에 대해 포상금 3억1천200만원을 지급했다. 이 금액에는 공동 운영사 포상금 5천800만원이 포함된 금액이다.

올해 신고건수는 1천108건으로 전년 대비 36.7%, 포상건수는 41.3% 증가한 수치다. 특히 올해 IoT 신고건수는 전년대비 11.5% 증가한 387건, 포상건수는 164건으로 지난해 비해 36.7% 증가한 수치다.

KISA는 올해까지 총 15개 민간 업체를 취약점 신고 포상제 공동 운영사로 등록했으며 민간 기업의 자발적 취약점 조치, 관리를 유도하고 협력을 확대하고 있다고 밝혔다.

현재까지 공동운영사에는 한글과컴퓨터, 네이버, 카카오, 네오위즈게임즈, 이스트시큐리티, 이니텍, 잉카인터넷, LG전자, 지니언스, 카카오뱅크, 안랩, 하우리, 엑스블록시스템즈, 블록체인오에스, 글로스퍼 등이 참여하고 있다.

KISA는 사이버 침해사고 예방을 위해 보안 취약점 소프트웨어, 시스템 개발 및 도입 단계부터 보안을 적용해 제거하고 시스템 등에 대한 장기적 위험분석을 통해 보안수준을 전사적으로 통합 관리할 것을 권고하고 있다.

김석환 KISA 원장은 "개방형 보안취약점 찾기 대회는 일상적인 보안 활동에서 발견되지 않는 취약점을 찾을 수 있도록 보완하는데 도움이 된다"며 "인터넷진흥원은 사이버 침해사고 예방을 위해 민간 기업들이 스스로 보안 취약점을 조치하고 관리할 수 있는 모범 사례로 '핵 더 키사'와 '취약점 신고 포상제'를 적극 알리도록 하겠다"고 말했다.

★정보보안 대표 미디어 데일리시큐!★