사이버안보에 대한 우려가 커지는 가운데, 화이트 해커를 통해 보안 취약점을 발견하는 것이 세계적인 추세다. 국내에서는 한국인터넷진흥원(KISA)이 공공기관 최초로 개방형 보안 취약점 찾기 대회를 열었다. 

KISA는 19일 서울 송파구 청사에서 ‘핵 더 키사’(Hack the KISA) 대회 포상 시상식을 개최했다. 이 자리에는 김석환 KISA 원장을 비롯해 ‘핵 더 키사’와 ‘보안 취약점 신고 포상제’의 수상자 6명 등이 참석했다.

핵 더 키사는 KISA가 실제 운영하는 홈페이지 5곳을 대상으로 일반인이 참여, 공개적으로 취약점을 찾는 대회다. 화이트 해커가 직접 보안 취약점을 발굴하고, 이들에게 보상하는 방식이다. 앞서 미국 정부에서도 국방부 웹사이트에 대한 신고 포상제를 추진하며 ‘핵 더 펜타곤’을 시행했다. 핵 더 키사는 해당 대회를 모티브로 삼았다.

핵 더 키사는 지난달 15일부터 28일까지 진행됐다. 이번 대회에서는 485명이 참가했고, KISA 검증 결과 유효 취약점 60건(28명)이 확인됐다. 대회 시작 26분 만에 최초 취약점이 신고되기도 했다. 이들 28명에게는 총 2555만원의 포상금이 지급됐다. 

사실 그동안 국내에서는 현행법상 핵 더 키사와 같은 자리를 마련할 수 없었다. 정보통신망법 제48조에는 ‘누구든지 정당한 접근권한 없이 또는 허용된 접근권한을 넘어 정보통신망에 침입하면 안 된다’는 내용이 담겨있기 때문이다. 이를 위반하면 5년 이하의 징역 또는 5000만원 이하의 벌금이 부과된다. 특히 미수범도 처벌한다는 내용도 포함돼 시도 자체만으로도 불법이 될 수 있다.

KT(2014년), 뽐뿌(2015년), 여기어때(2017년) 등 다수 기업들이 개인정보 유출 사고를 겪으면서 관련 문제가 주목을 받았다. 이에 KISA가 기업, 기관 등이 자발적으로 서비스를 개방하고 보안 전문가와 협력해 취약점을 발굴하는 모델로 핵 더 키사를 추진한 것이다.

핵 더 키사를 준비한 이동근 KISA 침해사고분석단장은 “대회를 준비하면서 다시 한 번 프로세스를 점검하고 내실화하게 됐다”며 “단일 이벤트성으로 끝내는 것이 아니라 공동 운영사를 찾아 지속적으로 진행할 계획”이라고 밝혔다.

KISA는 핵 더 키사 외에도 보안 취약점 신고 포상제를 시행하고 있다. 이는 소프트웨어 또는 서비스의 취약점을 찾아 신고한 사람에게 포상금을 지급하는 제도다. 해외에서는 ‘버그 바운티’라고 불린다. 화이트 해커는 개인 역량 및 인지도 상승과 금전적 이득을 볼 수 있고, 기업은 취약점을 보강하고 보안 관련 비용을 절감할 수 있다는 장점이 있다.

해당 제도는 지난 2006년에 시작됐다. 당시에는 포상금이 없었고, 지난 2012년 10월부터 포상금이 지급되기 시작했다. 포상금은 파급도가 높은 순으로 제공하는데 최대 1000만원까지 책정된다. 해당 제도 참여 기업으로는 한글과컴퓨터, 네이버, 카카오, LG전자 등이 있다.

실제로 해당 제도가 운영되면서 취약점 신고건수가 급증한 것으로 나타났다. KISA에 따르면 지난 2013년에는 4건에 불과했으나, 올해는 387건에 달했다. 이에 따라 KISA의 포상금 액수도 1970만원(2012년)에서 2억5420만원(2018년)으로 급증했다. KISA 측은 향후 IoT 관련 취약점도 점검할 방침이다.

김 원장은 이날 축사를 통해 “주변에서 핵 더 키사를 임기 마지막에 하라고 했다. 그만큼 리스크가 컸다”면서도 “정보보호 담당하는 기관으로서 객관적 검증을 받아보고 싶었다”고 설명했다. 이어 “(국내도) 버그바운티가 산업화 단계까지 발전해 단순히 소프트웨어뿐만 아니라 서비스까지 검증할 수 있게 되면 좋겠다”고 덧붙였다.

김도현 기자 dobest@kukinews.com