네이버, 보안취약점 신고포상제 '버그 바운티' 독립 운영

다만 응용 프로그램 부문 취약 정보는 KISA와 공유

[아시아경제 이진규 기자] 네이버는 지난 1일부터 보안취약점 신고포상제 '버그 바운티(Bug Bounty)' 프로그램을 독립적으로 운영하고 있다고 3일 밝혔다.

버그 바운티 프로그램은 소프트웨어 보안취약점을 발견하고 제보한 이용자에게 포상금을 지급하는 제도다. 국내에선 지난 2012년 한국인터넷진흥원(KISA)이 프로그램을 처음 도입한 이후 17개 기업들과 공동 운영해왔다. 네이버는 2015년 6월부터 KISA와 버그 바운티를 공동 운영해왔다.

네이버는 공동 운영사 가운데 최초로 버그 바운티 제보 범위를 '응용 프로그램' 부문뿐 아니라 '운영 서비스' 부문까지 확대했다. 또 지난해 국내기업 최초로 자사 SW보안취약점에 대한 국제표준 관리번호인 'CVE번호'를 발급할 수 있는 권한기관 'CNA'로 등록됐다.

네이버는 지난 3월부터 자체 버그 바운티 프로그램을 시범 운영해왔다. 이달부턴 네이버의 프로그램과 서비스에 집중한 버그 바운티 프로그램을 독립 운영한다. 다만 응용 프로그램 부문의 취약 정보에 대해선 이용자들의 피해 예방과 2차 피해 확산 방지를 위해 협약 종료 이후에도 KISA와 공유한다.

조상현 네이버 Security 리더는 "발견된 취약점과 보완정도를 사내 모든 개발자에게 제시하고 버그 바운티 제보 대상 범위와 보상을 확대해 네이버 보안성을 한층 강화할 수 있는 원동력이 되도록 하겠다"고 말했다.

이진규 기자 jkme@asiae.co.kr