[디지털투데이 석대건 기자] “굳이 하겠다면 임기 말에 하고 나가시라.”
김석환 KISA 원장은 핵더키사(Hack the KISA)가 KISA로서 얼마나 대담한 정책이었는지 강조했다. “만에 하나라도 사고가 터지면 감당이 안 될 것이라 걱정하더라.”
2018년 KISA가 진행하는 '핵 더 키사’가 종료됐다. KISA는 지난 19일, 실제 운영하는 홈페이지를 대상으로 일반인이 실제로 해킹 공격 가능한 취약점을 신고받는 ‘핵 더 키사 2018’의 시상식을 개최했다.
‘핵 더 키사’는 공공기관 최초로 시행된 개방형 보안 취약점 찾기 대회로 약 485명의 민간 보안 전문가, 다른 말로는 화이트 해커가 참여했다.
현행 정보통신망법에 따르면, 실제로 운영 중인 홈페이지와 같은 서비스를 대상으로 취약점을 탐지할 경우, 그게 공익적인 목적이라 하더라도 불법으로 간주해 처벌받는다.
설명하고 있다. (사진=KISA)
"취약점은 찾아 대비하는 게 한국의 보안 수준을 높이는 길"
‘핵 더 키사’ 운영 결과, 163건의 취약점을 발견하고 그 중 유효 취약점인 60건을 확인해 신고자에게 포상했다.
최우수상을 받은 주유성 씨는 “많은 보안 인력이 참여해 우리나라 보안 수준을 높이는 계기라 되기 바란다”고 말했다.
‘핵 더 키사’와 함께, KISA가 아닌 웹브라우저 플러그인 및 IoT 기기 등의 보안 취약점 신고 포상 시상도 동시에 진행됐다.
2012년부터 진행된 ‘보안 취약점 신고제’는 일반 기업의 서비스 내 취약점을 KISA에 신고하는 제도로, 한글과컴퓨터, 네이버, 카카오, 카카오뱅크, 안랩 등 다양한 IT서비스 기업과 공동 운영하고 있다.
예를 들어, 민간 보안 전문가가 네이버 내 취약점을 발견하고 KISA에 신고하는 방식이다. 이를 통해 민간 기업은 해킹 공격을 받기 전에 조치할 수 있고, KISA는 취약점 연구와 보안 대응을 할 수 있다.
12개월 동안 진행된 이번 ‘보안 취약점 신고 포상제’에서는 211명의 화이트해커가 참여해 약 1108건의 취약점을 찾아냈으며, 그중 52%에 달하는 581건이 유효한 취약점으로 드러났다.
이동근 KISA 침해사고분석단장은 “구체적으로 취약점을 공개할 수 없지만, 그동안 간과했던 부분을 집단 지성을 찾아냈다”고 말했다. 취약점을 공개하지 않는 이유는 해킹의 특성상 동일한 방식으로 공격에 노출될 위험이 있다.
사용해볼수록 취약점 알기 쉬워...더 많은 민간 보안 전문가 참여 바라
‘보안 취약점 신고’ 우수 TOP1으로 선정된 이영훈 씨는 “네이버 등 10년 간 사용경험이 서비스 내 취약점을 찾는 데 도움이 됐다”며, “네이버뿐 아니라 다양한 포탈에서도 버그바운티를 운영해 취약점 개선을 위해 노력했으면 좋겠다”고 밝혔다.
특히, 최근 IoT기기의 취약점도 문제로 드러났다.
IoT 기기의 취약점을 집중적으로 신고한 백정운 씨는 “보안 취약점이 패치되지도 않은 IoT기기들이 판매되고 있다”며, “시중 업체가 무작정 재고를 소진하기 위해 판매하고 있어 놀랐다”고 말했다.
2018년 취약점 신고 포상제에서는 IoT 기기의 취약점은 387건이 신고됐으며, 그중에서 164건이 유효한 취약점으로 밝혀졌다.
“우리집 인터넷 카메라가 해킹되지는 않았을까?"...KISA, 'IoT 119' 운영할 예정
KISA는 2019년에도 ‘핵 더 키사’와 ‘취약점 신고 포상제’를 확대 운영하는 한편, 늘어나는 IoT 기기 해킹에 대응하기 위해 ‘IoT 취약점 점검 시스템’을 운영한다.
만약 일반 가정에서 사용 중인 IP카메라나 인터넷 TV 등 네트워크와 연결된 IoT 기기의 해킹이 의심된다면, 해킹 여부를 확인해주는 시스템이다. KISA에 운영하는 IoT 119라 볼 수 있다.
기업 및 개인이 KISA에 보안 점검을 신청하면, KISA는 원격으로 연결하여 그동안 수집된 취약점 데이터를 기반으로 비교·분석해 해당 네트워크에 연결된 IoT기기 및 전산 장비의 해킹 여부와 취약점을 점검하게 된다.
현재 KISA는 IoT 점검 시스템 구축은 완료한 상태이며, 2019년 상반기 시범 운영을 거친 후, 하반기 본격적으로 시행할 예정이다.
이동근 KISA 침해사고분석단장은 “늘어나는 IoT기기 만큼 해킹과 함께, 사용자의 불안감도 커지고 있다”며, “취약점 해소를 위해 노력하겠다”고 말했다.
SNS 기사보내기
관련기사
- 인터넷진흥원-데이터진흥원, 데이터 경제 활성화 시동 건다
- "보안 스타트업은 KISA가 밀겠습니다"
- 액티브X, 우리 정말 헤어질 수 있나요?
- KISA, 2019년도 '7대 사이버 공격' 전망 발표
- 연말연시에도 해킹은 계속된다..."보안수칙 잊지 마세요"
- 안랩 V3 글로벌 보안제품 연속 인증 획득
- "2019년부터 정규직입니다"...KISA, 비정규직 파견·용역근로자 49명 정규직 전환
- 안랩 'V3 모바일 시큐리티', 2018년 AV-TEST 인증 전회 획득
- 액티브X·플러그인, 만나서 힘들었고 다시는 보지 말자
- KISA, 전자 고지서 모바일화 속도 낸다
- IoT기기 해킹 동영상, 다크웹 흘러가면 대책 없다
- 해커는 설날에도 찾아온다...안랩, 설 연휴 기간 '보안수칙’ 발표
- 안랩, 2018년 결산…매출 영업익 당기순익 모두 증가
- 안랩, SOAR 개념 도입한 ‘세피니티 에어’ 출시
- ‘위험 항공사 리스트’로 위장한 악성코드 유포 中…보잉737 추락 사고 관련 예비 여행객 불안 심리 노려
- 진화하는 해킹…안랩, “2019년 1분기 신규 랜섬웨어 48% 증가해"
- 안랩, 차세대방화벽 ‘트러스가드’ 기능 강화하고 중소기업 솔루션 선보여
- 어도비 플래시 지원 종료까지 1년...'HTML5 웹표준' 개편 서둘러야
- 안랩, 서울여대 정보보호학과 대학생 초청해 견학·멘토링 제공해
- 안랩, ‘2019년 상반기 코스닥 글로벌 IR 컨퍼런스’ 참가
- '소잃고 외양간 고치기' 반복하는 기업 개인정보 침해 대응
- 한컴, 3Q 영업익 23억…전년비 76%↓ “변곡점 지나는 중"