“만에 하나라도 정보보안 사고가 터지면..."
“만에 하나라도 정보보안 사고가 터지면..."
  • 석대건 기자
  • 승인 2018.12.19 14:49
  • 댓글 0
이 기사를 공유합니다

취약점 찾아 신고하는 '핵 더 키사' '보안 취약점 신고제' 성공적으로 끝나
IoT 기기 취약점 지속적으로 증가해...
KISA, IoT 점검 시스템 2019년부터 운영 예정

[디지털투데이 석대건 기자] “굳이 하겠다면 임기 말에 하고 나가시라.”

김석환 KISA 원장은 핵더키사(Hack the KISA)가 KISA로서 얼마나 대담한 정책이었는지 강조했다. “만에 하나라도 사고가 터지면 감당이 안 될 것이라 걱정하더라.”

2018년 KISA가 진행하는 '핵 더 키사’가 종료됐다. KISA는 지난 19일, 실제 운영하는 홈페이지를 대상으로 일반인이 실제로 해킹 공격 가능한 취약점을 신고받는 ‘핵 더 키사 2018’의 시상식을 개최했다.

‘핵 더 키사’는 공공기관 최초로 시행된 개방형 보안 취약점 찾기 대회로 약 485명의 민간 보안 전문가, 다른 말로는 화이트 해커가 참여했다. 

현행 정보통신망법에 따르면, 실제로 운영 중인 홈페이지와 같은 서비스를 대상으로 취약점을 탐지할 경우, 그게 공익적인 목적이라 하더라도 불법으로 간주해 처벌받는다.

김석환 KISA 원장이
김석환 KISA 원장이 '핵 더 키사' 운영 성과를
설명하고 있다. (사진=KISA)

"취약점은 찾아 대비하는 게 한국의 보안 수준을 높이는 길"

‘핵 더 키사’ 운영 결과, 163건의 취약점을 발견하고 그 중 유효 취약점인 60건을 확인해 신고자에게 포상했다.

최우수상을 받은 주유성 씨는 “많은 보안 인력이 참여해 우리나라 보안 수준을 높이는 계기라 되기 바란다”고 말했다.

‘핵 더 키사’와 함께, KISA가 아닌 웹브라우저 플러그인 및 IoT 기기 등의 보안 취약점 신고 포상 시상도 동시에 진행됐다.

2012년부터 진행된 ‘보안 취약점 신고제’는 일반 기업의 서비스 내 취약점을 KISA에 신고하는 제도로, 한글과컴퓨터, 네이버, 카카오, 카카오뱅크, 안랩 등 다양한 IT서비스 기업과 공동 운영하고 있다.

예를 들어, 민간 보안 전문가가 네이버 내 취약점을 발견하고 KISA에 신고하는 방식이다. 이를 통해 민간 기업은 해킹 공격을 받기 전에 조치할 수 있고, KISA는 취약점 연구와 보안 대응을 할 수 있다. 

한국의 버그바운티라 할 수 있는 보안 취약점 신고제가 지속적으로 성장하고 있다 (자료=KISA)
한국의 버그바운티라 할 수 있는 보안 취약점 신고제가 지속적으로 규모를 확대 중이다 (자료=KISA)

12개월 동안 진행된 이번 ‘보안 취약점 신고 포상제’에서는 211명의 화이트해커가 참여해 약 1108건의 취약점을 찾아냈으며, 그중 52%에 달하는 581건이 유효한 취약점으로 드러났다.

이동근 KISA 침해사고분석단장은 “구체적으로 취약점을 공개할 수 없지만, 그동안 간과했던 부분을 집단 지성을 찾아냈다”고 말했다. 취약점을 공개하지 않는 이유는 해킹의 특성상 동일한 방식으로 공격에 노출될 위험이 있다.

사용해볼수록 취약점 알기 쉬워...더 많은 민간 보안 전문가 참여 바라

‘보안 취약점 신고’ 우수 TOP1으로 선정된 이영훈 씨는 “네이버 등 10년 간 사용경험이 서비스 내 취약점을 찾는 데 도움이 됐다”며, “네이버뿐 아니라 다양한 포탈에서도 버그바운티를 운영해 취약점 개선을 위해 노력했으면 좋겠다”고 밝혔다.

특히, 최근 IoT기기의 취약점도 문제로 드러났다.

IoT 기기의 취약점을 집중적으로 신고한 백정운 씨는 “보안 취약점이 패치되지도 않은 IoT기기들이 판매되고 있다”며, “시중 업체가 무작정 재고를 소진하기 위해 판매하고 있어 놀랐다”고 말했다.

공유기 등 IoT 기기 취약점 신고사례가 점점 증가하고 있다.(자료=KISA)
IoT기기 등 취약점 신고사례가 점점 증가하고 있다.(자료=KISA)

2018년 취약점 신고 포상제에서는 IoT 기기의 취약점은 387건이 신고됐으며, 그중에서 164건이 유효한 취약점으로 밝혀졌다.

“우리집 인터넷 카메라가 해킹되지는 않았을까?"...KISA, 'IoT 119' 운영할 예정

KISA는 2019년에도 ‘핵 더 키사’와 ‘취약점 신고 포상제’를 확대 운영하는 한편, 늘어나는 IoT 기기 해킹에 대응하기 위해 ‘IoT 취약점 점검 시스템’을 운영한다.

만약 일반 가정에서 사용 중인 IP카메라나 인터넷 TV 등 네트워크와 연결된 IoT 기기의 해킹이 의심된다면, 해킹 여부를 확인해주는 시스템이다. KISA에 운영하는 IoT 119라 볼 수 있다.

기업 및 개인이 KISA에 보안 점검을 신청하면, KISA는 원격으로 연결하여 그동안 수집된 취약점 데이터를 기반으로 비교·분석해 해당 네트워크에 연결된 IoT기기 및 전산 장비의 해킹 여부와 취약점을 점검하게 된다.

현재 KISA는 IoT 점검 시스템 구축은 완료한 상태이며, 2019년 상반기 시범 운영을 거친 후, 하반기 본격적으로 시행할 예정이다.

이동근 KISA 침해사고분석단장은 “늘어나는 IoT기기 만큼 해킹과 함께, 사용자의 불안감도 커지고 있다”며, “취약점 해소를 위해 노력하겠다”고 말했다.

네이버 뉴스 스탠드에서 디지털투데이를 만나보세요.
디지털투데이 뉴스스탠드 바로가기 - MY 뉴스 설정
관련기사