각종 보안사고 발생 원인 중 하나로 공격자들은 많이 사용하는 소프트웨어 취약점을 공격해 다수의 사용자에게 악성코드를 감염시키거나 문서파일에 악성코드를 심어 APT 공격을 실행하는 경우가 지속적으로 발생하고 있다.
 
KISA(한국인터넷진흥원, 원장 백기승)는 지난 2012년부터 글로벌 기업에서 운영하고 있는 버그바운티를 모티브로 ‘취약점 신고 포상제’를 운영하고 있다. 지난해 신고 포상제 운영 결과와 올해 운영 계획에 대해 들어보기 위해 KISA 인터넷침해대응본부 취약점점검팀 박정환 팀장(사진)과 인터뷰를 진행했다.
 
-KISA 취약점 신고 포상제에 대해 설명해 달라.
2012년 10월부터 KISA가 운영하는 신고 포상제는 페이스북, 구글, MS 등 글로벌 기업에서 실시하는 버그바운티를 모티브로 소프트웨어 보안 취약점을 악용한 침해사고를 사전에 예방하고 취약점 전문가의 신규 취약점 발굴을 장려하기 위한 제도이다.
버그바운티란 기업 등이 자사 서비스나 제품의 보안성 강화를 위해 취약점을 찾아 신고해준 사람에게 포상금을 지급하는 프로그램을 말한다.
국내 기업중 버그바운티 프로그램을 운영하는 기업은 삼성전자(스마트TV)와 한글과컴퓨터(아래한글, KISA와 공동운영) 등이 있다.
 
-KISA에서 포상제를 운영하게 된 취지는.
국내 침해사고의 독특한 특징 중 하나는 국내에서만 주로 사용하는 문서편집 프로그램을 통해 악성코드가 유포되는 것이다. 해외에서는 관심이 적지만 국내 특성에 따른 취약점들을 입수해 사전에 조치토록 하고 더 이상 악용되지 않도록 함으로써 침해사고 사전 예방에 상당한 효과가 있다.
 
정부차원에서 제도를 운영함으로써 침해사고 사전 예방과 더불어 취약점 분석가를 발굴하고 이들을 음지가 아닌 양지로 이끌어 내는데도 효과가 있다.
 
-지난해 포상제 신고건수와 주로 어떤 종류의 취약점 신고들이 많았나.
2014년 접수된 신고건수는 총 274건으로 2013년 대비 53%가 증가했다. 이 중 신규 취약점으로 확인된 204건에 대해 소프트웨어 개발사에 분석정보를 제공하고 보안패치 개발을 요청해 침해사고 발생을 사전에 예방할 수 있도록 조치했다.
 
신규 취약점 중 평가를 거쳐 177건에 대해 1억6천430만원을 포상했다.
 
2014년 8월에는 한시적으로 악성코드 유포 등에 악용되는 ActvieX(액티브엑스) 취약점을 집중 점검 조치해 공공, 금융, 기업, 게임 등에서 사용되는 ActiveX 취약점 총 110건이 접수되어 81건에 대해 6천510만원의 포상금이 지급되었다.
 
2014년에는 ActiveX, 응용S/W(문서편집, 멀티미디어), 홈페이지 관리 S/W(Contents Management System) 취약점들이 주로 많았다.
 
-포상금 지급에서 제외되는 취약점은 어떤 취약점들인가.
홈페이지 취약점 등 현재 운영중인 서비스나 시스템에 대한 취약점은 불법적인 해킹공격으로 판단해 평가 대상에서 제외된다.
 
기준을 벗어난 신고는 제보 내용 중 개인정보를 삭제한 후 해당 기업에 패치를 요청하며, 제보자에게도 기준에 부합하지 않아 평가대상에서 제외된다는 안내 메일이 발송된다.
 
포상에서 제외되는 내용은 운영중인 서비스를 대상으로 한 취약점 (xxx 홈페이지에서 발생하는 웹 취약점 등), 해당 소프트웨어가 동작함에 있는 필수 요소(프레임워크 등)의 보안업데이트를 수행할 경우, 취약점이 발현되지 않거나, 기본 및 필수 보안 설정 등을 인위적으로 해제, 변경 등을 해야만 발생하는 취약점, 타인이 발견한 취약점 또는 이미 일반에게 공개된 취약점 정보, 사용자의 극단적인 개입이 있어야 악용될 수 있는 취약점(exe 파일 실행, 레지스트리 수정 등), 가능성만 제시된 완벽하지 않은 취약점 정보, 취약점으로 인해 발생할 수 있는 피해가 매우 미미하거나, 공격자 측면에서 신고된 취약점을 굳이 악용에 사용할 필요가 없을 정도로 파급도가 매우 낮은 취약점, 신고 접수된 정보가 불분명하거나 미약하여 취약점 정보를 파악할 수 없는 경우, 신고서 동의 관련 내용을 임으로 변조하여 신고한 경우, 개념증명코드(Proof Of Concept Code) 제공이 없는 신고, 허위 또는 과장된 취약점 정보를 담은 신고, 신고 취약점 정보에 대한 신고자 저작권 행사 등을 명시할 경우 등이 해당된다.
 
운영중인 서비스를 대상으로 한 취약점은 포상금 지급과 무관하게 신고는 가능하며, 국민 다수에게 개인정보 유출 등의 중대한 피해를 줄 수 있는 취약점일 경우, 검증 후에 해당 업체나 홈페이지 운영자에게 통보한다. 참고로 제로보드XE, 그누보드, 테크노트 등의 홈페이지 구축 소프트웨어는 당연히 포상 및 평가 대상에 포함된다.
 
-취약점별 포상수준은 어느 정도이며, 지난해 예산은 어느 정도였나.
접수된 소프트웨어 보안 취약점이 신규 취약점으로 인정된 경우 출현도, 영향도, 공격의 효과성, 발굴수준을 평가해 최소 30만원부터 최대 500만원까지 포상금이 지급된다.
2014년 포상금 예산은 2억1천만원이었다.
 
-포상제 운영상 어려운 점은 무엇인가.
포상제가 정부 예산으로 운영되기 때문에 포상금 지급 최대치에 한계가 있다. 비슷한 취약점을 제보하더라도 처음 신고 받은 취약점이 이후 신고 받은 취약점보다 더 많은 포상금이 지급될 수 있다.
 
제보자가 신고한 취약점의 영향도나 출현도에 비해 적은 포상액이 지급됐다며 불만을 토로하는 경우도 있다. 제보자 입장에서는 포상액이 기대에 못 미칠 수도 있겠지만 취약점의 영향도는 시기에 따라 변경되는 것이기 때문에 이 부분을 이해해줬으면 좋겠다.
 
-취약점을 찾는 과정에서 불법적인 행위가 있을 수 있는데, 신고자 보호는 어떤 식으로 하고 있나.
신고자의 신원은 공개되지 않는다. 제보 내용 중 개인정보를 삭제한 후 해당 기업에 패치를 요청하고 있다.
신고 취약점에 대한 패치가 개발된 이후에 보안공지가 되는 경우, 보안공지문에 신고자가 공개될 수 있으나 공개여부는 신고자가 선택할 수 있다. 다만 보안공지는 취약점의 파급도와 대국민 공지 필요성에 따라 실시되기 때문에 보안공지가 안될 수도 있다.
 
-올해 포상제 운영 계획과 예산 규모는 어떻게 되나.
2015년에는 S/W, ActiveX 중심에서 사물 인터넷(IoT), 핀테크 등 포상제 대상을 확대해 취약점 발굴 대상 분야 및 신고자 다양성을 확대할 예정이다. 또한 국내 기업에게 포상제 운영 방법과 보상 기준을 제공해주고 포상제 참여 및 자체 운영에 따른 이익과 의무를 제시해줌으로써 기업의 신고 포상제 참여 및 자체 운영을 유도, 포상제 공동 운영 참여 등을 강화할 계획이다.
2015년 포상금 예산은 2억3천만원이다.
 
-포상제 관련 팀장으로서 신고자들에게 당부의 말이 있다면.
사실 KISA 포상제의 궁극적인 목적 중 하나는 기업들의 자발적인 버그바운티 운영 확대에 있다. 현재 국내에는 거대 소프트웨어 개발사가 많지 않기 때문에 과도기적 성격으로 정부가 포상제를 운영하고 있는 것이다. 현재는 한글과컴퓨터 한곳이 포상제 운영에 참여하고 있지만 동참할 수 있는 기업들을 차츰 늘려가며 기업들이 이와 유사한 제도를 자체 운영할 수 있도록 분위기를 형성해가는 역할을 해나갈 예정이다.
 
<★정보보안 대표 미디어 데일리시큐!★>
 
데일리시큐 길민권 기자 mkgil@dailysecu.com