"KISA 해킹하면 상금 준다"...국내 '버그 바운티' 육성 나서

한국인터넷진흥원(KISA)이 보안 취약점 신고 포상제 활성화를 위해 '핵 더 키사(Hack The KISA)' 프로그램을 4분기 중 운용한다고 2일 밝혔다.

'핵 더 키사'는 미국 국방부가 운용한 '핵 더 펜타곤(Hack The Pentagon)' 사례를 참조한 것이다. 기업이나 기관의 정보 체계와 정보자산의 보안 취약점을 외부의 관찰자를 통해 발견, 위험에 선제 대응하게 하자는 취지다.



KISA 홈페이지 등을 대상으로 모의해킹을 진행하고 발견된 취약점을 KISA에 신고하면 KISA가 이를 평가해 시상한다. KISA 홈페이지 등 취약점 발굴이 필요한 서비스(홈페이지)를 선정하고, 참가신청을 통해 정해진 기간 내에 참여하는 화이트 해커들의 취약점 신고를 허용한다. 이들의 신고를 접수사하고 심사 결과에 따른 포상을 지급하는 것이다.

일정 기간 제한을 두고 취약점 신고를 허용하지만, 참가 신청을 하지 않고 대회에 참여하는 것은 불법이다. '핵 더 키사'에 정식 신고를 거쳐 참여하지 않고 해킹을 하다 적발되면 정보통신망법 48조에 따라 5년 이하의 징역 또는 5000만원 이하의 벌금에 처해질 수 있다.

'핵 더 키사'가 참조한 미국국방부의 '핵 더 펜타곤'은 지난 2016년 미국 국방부 관할 웹사이트 5곳을 대상으로 진행한 프로그램이다.

'핵 더 펜타곤'에는 1400여명이 참가했는데, 프로그램 진행 불과 13분 만에 최초 취약점이 제보되는 등 성과를 거뒀다. 취약점으로 신고된 사례는 1189개에 달했는데, 이중 국방부가 실제 취약점으로 판정한 사례도 138개에 달한다. 총 58명의 화이트해커가 총 7만5000달러(약 8300만원)의 포상을 지급받았다.

이후 미국에서 소프트웨어와 홈페이지의 취약점을 찾아낸 사람에게 포상을 지급하는 '버그 바운티(bug bounty)' 제도가 점차 확산된 바 있다. 구글, MS, 페이스북 등이 보안 취약점을 해결하기 위해 버그 바운티를 운영하고 있다.

국내 화이트 해커 중 1인자로 꼽히는 이정훈 씨가 구글과 MS 등 세계적인 IT 기업의 보안망을 뚫으며 상금을 획득 한 바 있다.

국내에 버그 바운티는 KISA가 2012년 10월부터 화이트해커들에게 포상금 지급을 시작하며 정착되고 있다. 이후 ▲한글과컴퓨터(2014년 2분기) ▲네이버(2015년 2분기) ▲카카오(2016년 1분기) ▲네오위즈게임즈(2016년 3분기) ▲이스트시큐리티(2017년 1분기) ▲이니텍(2017년 2분기) ▲잉카인터넷·LG전자(2017년 3분기) ▲지니어스·카카오뱅크·안랩(2017년 4분기) ▲하우리(2018년 1분기) ▲엑스블록시스템즈·블록체인오에스(2018년 3분기) 등과 버그바운티 시스템을 함께 운영하며 점차 확산되는 추세다.

이동근 KISA 침해사고분석단장은 "한글과컴퓨터를 시작으로 보안 취약점 신고 포상제를 공동운영하고 있는데, 기본 플랫폼은 KISA가 제공하고 보상금을 해당 기업에서 제공하는 형태"라며 "이후 네이버와 카카오 등이 참여해 현재 14개로 확대됐고, 홍보를 통해 기업들의 적극적인 참여를 이끌어내는 것이 필요하다"고 밝혔다.

이동근 단장은 "'핵 더 키사'는 보안 취약점 해결을 위한 신고 포상제를 활성화 하기 위해 마련한 것"이라며 "개개인의 해킹 능력을 과시하는 것이 아니라 화이트 해커와 기업, 기관들간의 상호협력을 위해 마련하는 행사"라고 강조했다.

[머니투데이방송 MTN = 서정근 기자 (antilaw@mtn.co.kr)]