[디지털데일리 이민형기자] 미래창조과학부와 한국인터넷진흥원(KISA)이 취약점 신고 포상제(버그바운티, Bugbounty) 확대를 추진한다.

최근 정한근 미래부 정보보호정책관은 “정보보호산업 육성과 보다 안전한 사이버공간을 만들기 위해 정부에서도 버그바운티 확대를 추진하고 있다”며 “관련해 예산도 증액하고 민간기업과의 협업도 준비 중”이라고 말했다.

버그바운티는 기업들이 자사의 서비스나 제품의 보안성 강화를 위해 보안취약점을 찾아주는 사용자에게 포상금을 지급하는 프로그램을 뜻한다. 구글, 애플, 마이크로소프트, 삼성전자 등 글로벌IT업체들이 운영하고 있다.

얼마 전 보안업계를 떠들썩 하게 했던 크립토락커(Cryptolocker) 랜섬웨어(Ransomware)는 어도비 플래시 취약점을 악용해 유포된 것으로 알려졌으며, 하트블리드(Heartbleed), 쉘쇼크(Shellshock) 역시 리눅스의 취약점으로 인한 이슈였다.

이처럼 각종 보안사고의 바닥에는 취약점이 존재한다. 공격자들은 사용자들이 많은 소프트웨어의 취약점을 찾아낸 뒤, 이를 악용해 악성코드 유포, 무단 권한상승 등을 꾀하고 있다.

KISA에서도 지난 2012년 하반기부터 버그바운티를 운영하고 있으나, 상금규모가 해외의 버그바운티 보다 낮아 참여가 제한적이다. 이는 버그바운티 전체 예산이 많지 않았기 때문이다.

KISA에 따르면 지난 2013년 버그바운티 총 예산은 1억6000만원, 2014년은 2억1000만원이다. 포상금은 출현도나 영향도, 공격 효과성 등을 평가해 최소 30만원부터 최대 500만원까지 포상금이 지급된다.

박정환 KISA 팀장은 “정부에서 버그바운티의 중요성을 인지하고 예산을 점차 늘려가고 있다. 내년도 예산은 3억으원으로 확대해 줄 것을 요청했다”며 “지난해 소프트웨어 취약점, 액티브X(Active-X) 취약점 등을 접수받아 배정된 예산 2억1000만원을 모두 지급했다. 해커들의 버그바운티 참여도 점차 증가하고 있는 상황”이라고 전했다.

이어 “해외 버그바운티와 비교해 최고 포상금을 낮아 이를 더 높여야 한다는 의견도 제시되고 있으나, 당분간은 현행대로 운영할 계획”이라며 “국내 소프트웨어 기업들의 버그바운티 참여를 독려해 함께 운영할 예정”이라고 덧붙였다.

현재 국내에서 버그바운티를 운영하고 있는 기업은 삼성전자, 네이버, 한글과컴퓨터(KISA 공동) 등이다.

아울러 정부는 올해 열리는 ‘한국 포운투오운(Pwn2Own, 가칭)’ 대회에도 후원할 예정이다. 포운투오운은 버그바운티 대회로 정해진 시간내에 특정 소프트웨어의 취약점을 찾는 해커에게 포상금을 지급한다.

이와 관련 김승주 고려대 정보보호대학원 교수는 “올해 열리는 시큐인사이드에서는 버그바운티 대회를 개최할 계획”이라며 “해킹방어대회도 좋지만 버그바운티는 사이버보안에 기여할 수 있어 더 의미가 깊다”고 설명했다.

<이민형 기자>kiku@ddaily.co.kr