[디지털데일리 이민형기자] 구글, 페이스북, 삼성전자 등 세계적인 기업들은 자신들이 만든 소프트웨어를 보다 안전하고 완벽하게 만드는 방법으로 버그바운티(Bug bounty)라는 제도를 운영하고 있다.

지난해 11월 라온시큐어의 이정훈 연구원은 글로벌 모바일 해킹대회 ‘폰투오운(Pwn2Own)’에서 애플 아이오에스(iOS) 8.1 취약점을 찾아 5만달러(약 5570만원) 상금을 받았으며, 이승진 그레이해시 대표도 애플, 드롭박스 등 글로벌 IT업체들의 SW의 보안취약점을 찾아 명성을 떨치고 있다.

버그바운티로 막대한 상금을 받은 사례는 전부 글로벌 업체들로부터 나왔다. 국산SW 버그바운티로 높은 상금을 거머쥐었다는 소식은 찾아볼 수가 없다.

이러한 현상이 나타나는 이유는 두가지로 생각해볼 수 있다. 첫번째로는 국산SW의 품질이 우수해 버그를 찾을 수 없는 경우다. 버그를 찾기가 힘드니 당연히 버그바운티와 관련된 소식이 적을 수 밖에 없다.

두번째는 국산SW 버그바운티 환경이 매우 열악하기 때문으로 추측할 수 있다. 버그바운티를 죄악시하고, 버그바운티를 해도 보상이 없다면 어느 해커라도 국산SW에 대한 버그바운티를 하지 않을 것이다.

누구나 예상한대로 우리나라에서 버그바운티가 활성화되지 않는 것은 두번째 이유 때문이다. 아직도 많은 기업들은 자신들의 제품을 리버싱(reversing, SW 역분해)하는 것을 극히 꺼리고 있다. “왜 허락도 없이 남의 저작물을 뜯어보느냐”라는 것이다.

실제로 국산SW 버그바운티 결과를 해당 기업에게 알려주고 ‘고소하겠다’는 회신을 받은 해커들도 부기지수다.

기업들이 강력하게 반응할 수 있는 근거에는 버그바운티가 SW이용약관에 위배되기 때문이다. 약관에 따르면 사용자는 기업의 허가없이 SW를 개작하거나 뜯어볼 수 없다. 이러한 약관이 개정되지 않는 한 버그바운티는 음지에서 지속될 수 밖에 없다.

버그바운티 보상이 해외에 비해 매우 낮은 것도 저변 확대를 저해하고 있다.

글로벌 업체들은 매우 중대한 취약점의 경우 수만달러에 달하는 상금을 지급하지만, 국내는 가장 높은 상금액수가 500만원에 불과하며, 이마저도 한국인터넷진흥원(KISA)에서 지급한다. 돈을 받고 판매하는 상용SW의 보안취약점 발굴에 대한 보상을 정부에서 하고 있는 상황이다.

이 상황을 타개하기 위해서는 세가지가 동시에 이뤄져야 한다. 첫번째로 버그바운티의 합법화다. 연구의 목적으로 SW를 리버싱하고, 이를 증명할 수 있을 경우 위법이 아니라는 것이 명문화돼야 한다.

버그바운티가 합법화되면 그 다음으로는 해커와 SW기업의 중간다리 역할을 할 수 있는 민간 버그바운티 기업이 나와야 한다. 해외에서는 해커원(hackerone.com)이 널리 알려져 있다. 해커원은 어도비, 드롭박스, 트위터, 야후 등 글로벌 기업들과 협력을 맺고 보안취약점을 전달하는 역할을 하고 있다.

마지막으로는 기업들의 자발적인 버그바운티 제도 운영이다. 국내에서는 버그바운티 환경이 제대로 조성돼 있지 않기 때문에 정부가 나서서 이를 운영하고 있지만, 이는 미봉책이다.

기업들은 버그를 찾는 해커들을 ‘눈엣가시’를 생각하지 말고 더 훌륭한 제품으로 발전시켜주는 동반자로 생각하고 버그바운티에 동참해야 한다. 버그바운티 제도의 투자는 반드시 그 이상의 결과물을 가져올 것이다.

<이민형 기자>kiku@ddaily.co.kr