보안

[국감2022] “민간 SW 기업 취약점 신고 포상금, 정부가 83% 지급”

이종현
[디지털데일리 이종현기자] 한국인터넷진흥원(KISA)이 실시하고 있는 소프트웨어(SW) 보안 취약점 신고포상제와 관련, 포상금의 83%가 정부 예산으로 지급되고 있는 것으로 나타났다.

KISA는 상시로 보안 취약점 신고 접수를 받고 분기별로 보안 전문가가 참여하는 평가위원회를 구성해 접수된 취약점을 평가하는 버그 바운티(Bug Bounty) 프로그램을 운영 중이다. 평가를 통해 신규 취약점을 발견한 신고자에게는 최대 1000만원의 포상금을 지급한다.

포상금과 관련 공동운영사로 참여하는 민간기업의 경우 자사 취약점 신고자에 대한 포상금은 기업이 부담하고, 나머지 기업의 경우 KISA가 정부 예산으로 지원하는 상황이다.

이와 관련 변재일 의원(더불어민주당)은 2018년부터 2022년 상반기까지 5년간 지급된 포상금액 총 14억1600만원 중 11억7138만원을 정부 예산으로 지급했고, 공동 운영사인 민간기업의 지급액은 2억4500만원 수준에 그쳤다고 11일 밝혔다.

정부예산 지원을 받은 것은 대기업 및 해외기업도 포함된 것으로 확인됐다. 2020년부터 2022년 상반기까지 대기업의 SW와 관련 신고된 건수는 120건으로, 정부 예산으로 6935만원이 쓰였다. 해외기업 SW는 22건으로 1195만원이 지급됐다.

변 의원은 “보안 취약점 신고포상제의 실효성 있는 제도 운영을 위해 국회가 지난 5월 법적 근거를 마련했음에도 여전히 민간 사업자 참여가 저조하다”며 “정부 지원은 국내 중소기업으로 한정하고 투자 여력이 있는 대기업·중견기업이 공동운영사로 참여할 수 있도록 인센티브 마련 등 제도 보완이 필요하다”고 말했다.
이종현
bell@ddaily.co.kr
기자의 전체기사 보기 기자의 전체기사 보기
디지털데일리가 직접 편집한 뉴스 채널