실시간 뉴스



보안 취약점 알려줬더니 '웬 참견이셔?'


외국 기업들은 보상금 주며 활동 장려한다는데

[김국배기자] # 정보보안 분야를 공부하는 학생 A군은 우연히 B회사의 소프트웨어(SW)에서 보안 취약점을 찾았다. A군은 B회사의 고객센터로 취약점에 대한 이메일을 보냈다.

다른 뜻은 없었다. 평소 많이 사용하는 SW가 더 나아지길 바랐을 뿐이다. 그러나 답장을 받은 A군은 실망감을 감출 수 없었다. 돌아온 답은 '당신이 뭔데 남의 회사 취약성을 검증하느냐'는 것이었다.

해킹 공격의 통로가 될 수 있는 보안 취약점을 찾아 알려주는 데도 일부 기업들의 반응은 여전히 냉랭하기만 하다.

업계 관계자들은 "과거보다는 많이 나아졌지만 여전히 불쾌하거나 무시하는 경우가 더 많다"고 입을 모은다. 특히 세계적 기업들이 상금을 걸고 이같은 활동을 장려하는 것과 비교한다면 한참 못 미치는 수준이라는 지적이다.

화이트 해커인 이승진 그레이해시 대표는 "설령 선의의 목적이라 해도 기업 담당자들에게서는 싫은 소리를 듣기 십상"이라며 "심한 경우 고소 등 법적 대응을 하겠다는 경우도 있다"고 말했다.

◆구글, MS는 '버그 바운티' 운영, 한국은?

이같은 일이 벌어지는 이유는 아직까지 국내 기업들이 회사나 서비스의 보안 허점이 외부에 알려지는 것을 꺼려하고 감추는 데 급급한 탓으로 풀이되고 있다. 보안 책임자에게 취약점을 확실하게 전달할 별도의 창구조차 제대로 갖추지 못한 점도 문제로 지적된다.

반면 구글, 마이크로소프트(MS), 페이스북 등 글로벌 기업들은 버그 바운티(Bug bounty·버그 발견자 보상)라는 포상 제도를 운영하고 있다. 기업들이 공개적으로 취약성을 찾도록 하고 이에 대해 보상을 주는 것이다.

라온시큐어 조주봉 보안기술교육팀장은 "외국의 경우엔 (취약점을 알려주는 것에 대한) 마인드가 갖춰져 있어 고맙게 여기지만 국내는 아직"이라며 "또 기업에 직접 알려도 윗선까지 보고가 닿지 못하는 것 같다"고 말했다.

이 때문에 국내 기업들도 개별적으로 '버그 바운티'와 같은 보상 체계를 마련하는 것이 필요하다는 의견도 제기되고 있다. 적어도 보안 취약점을 전달할 수 있는 전용 창구가 있어야 한다는 주장이다.

이승진 대표는 "보안을 신경 쓴다면 취약성을 접수 받는 이메일 등이 따로 있어야 하나 한국 회사 중에는 거의 없다고 봐야 한다"고 말했다.

보안 취약점을 제보하는 사람들은 현업 종사자나 학생들을 포함한 해커들이다. 현재 이들이 소프트웨어(SW) 취약점을 발견해 알려주는 방법은 크게 두 가지다.

기업의 고객센터나 해당서비스 담당자에게 직접 이메일을 보내거나 한국인터넷진흥원(KISA)을 통하는 길이다.

그나마 한국인터넷진흥원(KISA)이 지난 2012년 10월부터 운영하기 시작한 'SW 신규 보안 취약점 신고 포상제'가 체면치레를 하고 있다. 이 제도는 분기별로 우수 취약점을 선정해 평가 결과에 따라 최대 500만 원의 포상금을 지급한다.

한국인터넷진흥원 박진완 취약점분석팀장은 "13년도 총 94명으로부터 179건의 취약점이 신고 접수됐으며 해당 제조사에 전달해 침해사고 예방에 상당한 효과가 있었던 것으로 평가한다"고 말했다.

김국배기자 vermeer@inews24.com






alert

댓글 쓰기 제목 보안 취약점 알려줬더니 '웬 참견이셔?'

댓글-

첫 번째 댓글을 작성해 보세요.

로딩중
포토뉴스