2014년 'KT'

2015년 '뽐뿌 홈페이지' 

2017년 '여기어때'

[디지털투데이 석대건 기자] 모두 홈페이지 취약점으로 노린 해킹 사건을 당했던 사례다. 이로 인해 대규모의 개인정보가 유출됐으며, 관리자를 사칭한 콘텐츠 위변조 사례 또한 발행했다.

날로 발전되어가는 해킹 수법에 대응해 한국인터넷진흥원(KISA)가 보안 취약점 신고 포상제를 확대한다. 말 그대로 소프트웨어 또는 홈페이지 서비스 등의 취약점을 찾아낸 이에게 포상금을 지급하는 제도로, KISA는 지난 2006년 시행했으며, 2012년부터 포상금을 지급하기 시작했다.

이동근 침해사고분석단장은 “해킹을 막을 순 없지만, 활용할 순 있다”며, “화이트 해커의 긍정적인 책임을 주고 함께 취약점 보완하고자 한다”고 말했다.

해외에서는 버그 바운티(Bug bounty)라 불리는 취약점 신고 포상제는 구글, MS, 애플, 페이스북 등 거대 IT기업을 불문하고 자사 취약점 발굴 및 보안 강화를 위해 도입하고 있다. 

국내에서는 KISA를 중심으로 한글과컴퓨터, 네이버, 카카오 등 14개 기업이 참여하고 있으며, 삼성전자 또한 스마트TV와 모바일 분야에서 SW 취약점 신고포상제를 운영 중이다.

KISA 분기별 1회 포상하며, 국내 보급도 또는 파급도가 높은 취약점을 찾아낸 화이트해커에게는 더 높은 포상금을 지급한다.

이동근 침해사고분석단장은 “만약 카카오톡 메시지와 같이 쉽게 또 널리 퍼지는 수단에 숨겨진 악성코드를 찾아낸다면 최고 금액”이라며, “다만, 신고 전에 외부에 공개되면 취약점을 광고하는 꼴이기 때문에 비공개로 신고할 부탁드린다”고 말했다.

KSIA는 2018년 1분기부터 최고 포상금을 1,000만 원으로 상향했으며, 아직 최고 지급액 수여 해커는 나오지 않았다.

그렇다면, 이러한 유인책이 효과가 있을까? 

취약점 신고 포상제의 효과는 확실하다는 게 KISA의 설명이다. 

일례로, 신고 포상제 공동운영사로 참여하고 있는 한글과컴퓨터의 경우, 2014년 이후 꾸준하게 취약점 신고가 감소 중이다. 한글과컴퓨터 내 원격코드 실행 취약점이 발견되어 430만 원을 지급한 바 있다.

현형 정보통신망법에 따르면, 누구든지 운영 중인 홈페이지 등 웹 서비스를 대상으로 취약점 발굴 활동을 하면 불법으로 간주된다. 그렇기 때문에 화이트 해커가 피해를 입히지 않더라도 접근한다면 문제가 된다.

이에 KISA는 ‘Hack the KISA’라는 이름의 자체 취약점 해킹 경쟁 프로그램도 추진할 예정이다.

말그대로 ‘KISA를 해킹한다’는 뜻으로, 참가자 모집 후 KISA 홈페이지를 모의 해킹 진행한 후 취약점을 신고한 화이크 해커에게 포상금을 지급하는 대회다.

미국 국방부에서도 'Hack the Pentagon'이라는 이름으로 국방부 웹사이트 취약점에 신고 포상제를 운영 중이다.

‘Hack the KISA’는 4분기에 추진할 계획이며, 향후 취약점 발굴이 필요한 홈페이지로 확대할 예정이다.

이동근 침해사고분석단장은 “절대 보안을 과시하기 위한 행사가 아니다”며, “화이트해커에게 도움을 요청하고 함께 상호협력해 나가는 모델”이라고 밝혔다.