최근 발생한 대규모 개인정보 유출, 콘텐츠 위변조 등 인터넷 침해사고는 기업이나 기관이 운영 중인 홈페이지나 서비스의 취약점이 공격 통로로 악용된 경우가 많다. 이에 기업이나 기관이 자발적으로 서비스를 개방하고 민간 취약점 보안 전문가와 협력해 취약점을 발굴하는 활동을 하고 있지만 현실적 제약으로 확산되지 못하고 있다. 현행 정보통신망법상으로는 실제 운영 중인 홈페이지를 공익적 목적으로 취약점을 발굴하더라도 금지 행위에 해당된다.
이 때문에 지난해 한국인터넷진흥원이 운영 중인 홈페이지를 대상으로 취약점 신고 포상제를 실시한다고 발표했을 때 주위에서도 준비과정에서의 어려움과 예측 불가능한 상황 때문에 대회 진행을 말렸었다. 국내 민간 분야 보안을 담당하고 있는 전문기관의 홈페이지나 서비스가 중단될 수도 있다는 위험부담을 안고서라도 대회를 감행해야 했던 것은 그만큼 민간 분야의 IT 서비스가 취약점에 많이 노출되어 있고, 이를 개선하기 위한 노력이 부족하다는 판단에서였다.
이번 대회에는 총 485명의 민간 보안 전문가가 참여했는데, 국내 화이트해커가 약 500명 정도로 추산되는 것을 감안하면 대부분의 보안 전문가가 참여했다고 볼 수 있다. 대회 시작 26분 만에 최초 취약점이 접수되며 내부에서는 우려한 사태가 발생하는 것은 아닌지 긴장감이 높아지기도 했다. 대회 기간 총 163건의 크고 작은 취약점이 접수됐고, 그중 유효한 보안 취약점 60건을 선정하고 총 28명에게 포상하며 대회는 마무리됐다.
'핵 더 키사' 대회는 이용자들이 인터넷 이용을 위한 관문이 되는 웹 서비스 보안을 강화하는 작은 출발점이다. 개방형 서비스 취약점 발굴 모델이 민간 기업과 공공기관에 확대돼 웹 서비스의 보안 취약점이 개선되지 않는다면 국내 서비스는 개인정보 유출, 콘텐츠 위변조 사고에서 언제나 해커들의 좋은 먹잇감이 될 것이다. 올해는 보안 취약점 발굴과 개선에 의문점이나 어려움을 가지고 있었던 많은 기업들이 참여해 인터넷 환경을 안전하게 개선하고 침해사고를 사전에 예방하는 계기가 됐으면 한다.
이재일 한국인터넷진흥원 사이버침해대응본부장
.
꼭 봐야할 주요뉴스
대자보로 사직 알린 서울대병원 교수..."韓의료, ... 마스크영역<ⓒ투자가를 위한 경제콘텐츠 플랫폼, 아시아경제(www.asiae.co.kr) 무단전재 배포금지>