[아시아경제 한진주 기자] 기업·기관들이 스스로 발견하기 어려운 보안취약점을 발견하면 포상을 지급하는 '버그 바운티'를 확대하기 위해 인터넷진흥원이 팔을 걷어붙였다. 소프트웨어 뿐 아니라 서비스 영역까지 확대될 수 있도록 인터넷진흥원이 자체 홈페이지에서 모의해킹 대회를 연다.2일 인터넷진흥원은 오는 4분기 중 화이트 해커들을 대상으로 서비스 취약점 신고 포상제 '핵 더 키사(Hack the KISA)'를 진행한다고 밝혔다.'핵 더 키사'는 참가자를 대상으로 KISA 홈페이지에서 모의해킹을 실시한 후 발견된 취약점을 평가해 시상하는 방식으로 진행된다. 미국 국방부가 주관하는 국방부 웹사이트 보안 취약점 신고 포상제 '핵 더 펜타곤'을 벤치마킹한 것이다.이동근 인터넷진흥원 침해사고분석단장은 "키사가 먼저 서비스 취약점 신고 포상제를 시범적으로 진행한 후 기업들의 참여를 이끌어내기 위한 목적"이라며 "핵 더 키사는 보안을 과시하기 위한 행사가 아니라 화이트해커들에게 도움을 요청하고 상호 협력하기 위한 것"이라고 설명했다.구글이나 애플 등 ICT 기업들이 소프트웨어 외에 서비스에 대해 '버그 바운티' 프로그램을 운영하고 있는데 비해 국내 기업들은 버그바운티 도입에 소극적이다. 화이트해커가 선의로 취약점을 찾아 신고해도 기업들이 악의적 행위로 간주하는 경우도 빈번하다.게다가 국내에서는 운영중인 웹 서비스에서 취약점 발굴 활동을 하는 것이 정보통신망법 48조를 위반하는 행위로 간주될 수 있어 업계나 화이트해커들도 적극적으로 뛰어들지 않고 있다. 망법 48조에서는'누구나 정당한 접근권한 없이 또는 허용된 접근권한을 넘어 정보통신망법에 침입해서는 안된다'고 규정하고 있다.이동근 단장은 "보안에 관심이 있는 사람이 스스로 점검해 제보하더라도 법 위반이라는 논란이 있었다"며 "미국 국방부도 자체적으로 찾아내기 어렵다고 판단해 외부에 취약점 발굴을 맡겼고 과감한 실행이 좋은 성과를 만들어냈다"고 설명했다.인터넷진흥원은 2012년부터 소프트웨어를 대상으로 보안 취약점 신고 포상제를 운영해왔다. 현재 한글과컴퓨터, 네이버, 카카오, 네오위즈게임즈, 이스트시큐리티, LG전자 등 14개 기업이 참여하고 있다. 포상금은 출현·영향도를 평가해 점수별로 5만원부터 1000만원까지 지급된다.보안 취약점 신고 포상 건수는 ▲2012년 23건 ▲2013년 179건 ▲2014년 274건 ▲2015년 321건 ▲2016년 696건 ▲2017년 810건으로 매년 증가했다. 포상금액은 2016년부터 감소했는데 기업들의 참여가 늘어나면서 해당 기업들이 직접 지급하는 사례가 늘어난 영향이다.이동근 단장은 "한글과컴퓨터가 스스로 보안 취약점을 발견하는 것에 한계가 있다는 것을 느껴 취약점 신고 포상제에 참여했는데 2014년 25건에서 올해는 3건으로 취약점 발견 건수가 줄었다"며 "취약점 오픈은 부정적인 것이 아니라 자사 서비스나 보안 수준을 업그레이드할 수 있는 좋은 기회"라고 설명했다.

