[디지털데일리 이종현기자] 지니언스는 자체 버그 바운티(Bug Bounty) 프로그램을 시행한다고 30일 밝혔다.

버그 바운티 프로그램은 소프트웨어(SW) 또는 웹 서비스의 취약점을 찾아낸 사람에게 포상금을 지급하는 제도다. 보안 취약점을 악용한 침해사고를 사전에 예방하기 위해 시행된다. 화이트해커 육성에도 도움이 된다.

사이버보안 전문가는 버그 바운티 프로그램이 화이트해커가 취약점을 연구하고 제보함으로써 차세대 보안 전문가 육성에도 도움이 된다고 평가한다. 해외 기업의 경우 버그 바운티 프로그램을 적극 도입 중이다. 다만 국내에서는 도입·운영이 소극적이다. 한국인터넷진흥원(KISA)의 보안 취약점 신고 포상제 공동운영사는 네이버, 지니언스 등 21곳에 불과하다.

지니언스는 KISA가 운영 중인 소프트웨어(SW) 신규 취약점 신고 포상제도의 공동운영사로 참여 중이다. 이에 더해 자체 버그 바운티 프로그램을 운영함으로써 자체 솔루션에 대한 신뢰도를 높인다는 계획이다.

지니언스의 버그 바운티 프로그램 대상은 네트워크 접근제어(NAC) 솔루션 ‘지니안 NAC’와 ‘클라우드 NAC CSM 서비스’다. 지니언스 홈페이지 및 운영 중인 서비스에 대한 취약점을 불법 해킹 우려 및 관련법에 따라 검증권한 부재로 평가 및 보상에서 제외된다는 설명이다.

보안 취약점 신고서 등록 및 접수는 수시로 이뤄진다. 취약점 평가는 월단위로, 포상금 지급은 1월, 4월, 7월, 10월 등 분기별로 이뤄진다. 접수 취약점은 보안 취약점 평가 국제표준(CVSS 3.1)을 기반으로 평가한다. 건당 최대 포상금은 2500달러(약 300만원)다.

이동범 지니언스 대표는 “버그 바운티 프로그램은 보안 취약점으로 인해 돌이킬 수 없는 상황이 발생하는 것을 사전에 방지하는 것이 목적”이라며 “제품 및 서비스의 안정성을 확보하고 적극적인 보안 이슈를 선제적으로 대처해 차세대 보안 시장을 선도하는 기업 이미지 강화에 도움이 되리라 생각한다”고 말했다.