한국인터넷진흥원(KISA, 원장 이기주)은 신규 취약점 신고 포상제 시행 6개월 만에 신고 건수가 약 3배 급증했다고 밝혔다.
 
신규 취약점이란 소프트웨어에서 해커가 악용할 수 있는 허점을 의미한다. 해커가 이를 악용하여 공격하는 것을 제로데이 공격(zero-day attack)이라고 부른다. 제로데이 공격은 공식적인 조치 방법이 나오기 전이기 때문에 초기 대응이 어렵다고 알려져 있다. 따라서 취약점을 사전에 발견하고 보완하는 것이 최선의 방법이다.
 
KISA는 '06년부터 취약점 신고를 받아온데 이어, 지난해 10월부터는 국민의 관심과 참여를 도모하고, 우수한 취약점 수집을 확대하기 위해 우수 신규 취약점에 대해 포상금을 지급하는 신규 취약점 신고 포상제를 도입해 운영하고 있다.
 
통상 6개월에 20여건 미만이었던 신고 건수가 포상제 시행 후 60여 건으로 3배 급증했다. 접수된 취약점은 국내 소프트웨어의 취약점이 대부분으로, 홈페이지 구축 소프트웨어, PC용 소프트웨어 및 모바일 앱 등이었다. 이 중에는 파급도가 높은 취약점이 다수 포함됐다.
 
취약점 평가는 보안 전문가·관련 업계 종사자 등으로 구성된 평가 위원단에 의해 분기별로 실시되며, 모든 신규 취약점 신고자에게 평가 결과를 통보하고 있다.
 
KISA는 인터넷침해대응센터를 통해 취약점 신고가 접수되면 자체적으로 검증 및 분석 작업을 실시한다. 분석된 취약점은 해당 업체에 전달해 보안 업데이트를 개발하게 된다.
 
신규 취약점에 대한 보안 업데이트는 경우에 따라 1일에서 두 달까지 소요된다. 홈페이지 구축 소프트웨어 취약점의 경우 취약점 개발자에 의해 파악 및 조치가 즉시 가능하나, PC용 소프트웨어나 모바일 앱의 경우 모든 과정이 완료되기까지는 2주에서 한 달 정도가 소요된다. 이는 PC용 소프트웨어나 모바일 앱의 경우 정밀한 테스트가 필요하기 때문이다.
 
취약점 신고제에 대한 개발사의 반응도 긍정적이다. 일부 개발사에선 취약점 신고자에게 회사 차원에서 사례를 하기도 하였다. 그러나 아직 국내 기업의 경우 국외보다 취약점 발굴 및 공개에 대해 부정적으로 생각하는 경우가 많아 인식 전환의 노력이 필요하다.
 
박순태 KISA 해킹대응팀장은 “신규 취약점을 악용한 공격이 지속적으로 증가하고 있어, 취약점 신고의 역할이 더욱 중요해 지고 있다”며 “앞으로도 KISA는 포상 규모 확대·기금 마련 등 다양한 방안을 마련하여 취약점 신고 활성화를 위해 노력하겠다”고 밝혔다.
 
신규 취약점 신고는 KISA의 인터넷침해대응센터 홈페이지(www.krcert.or.kr)를 통해 접수할 수 있다.
 
데일리시큐 길민권 기자 mkgil@dailysecu.com