약 20년 전 방송된 애니메이션 ‘카우보이비밥’은 2071년의 우주를 배경으로 하는 작품이다. 매력적인 재즈 선율로 가득 찬OST와 지구, 목성, 토성 등 다양한 혹성에서 일어나는 에피소드로 전 세계적인 인기를 끌었다. 그러나, 가장 인상 깊었던 부분은 광활한 우주를 돌아다니며 범죄자들을 잡는 현상금 사냥꾼 이야기였다. 공격자가 뚫고 들어갈 만한 버그나 취약점을 찾은 화이트 해커가 그 대가로 포상금을 받는 ‘버그바운티(Bug Bounty)’ 제도와 상당 부분 유사점이 있기 때문이다.

실제로 오늘날 ‘버그바운티’ 제도는 기업, 기관의 보안성을 높일 수 있는 핵심 요소로 큰 조명을 받고 있다. 디지털 환경의 보안 취약점을 파고드는 공격은 기하급수적으로 증가하고 있으나, 기업의 보안 관리자가 수많은 취약점을 일일이 찾아내는 데는 한계가 있기 때문이다. 이에, 기업이 허용한 제품, 서비스에 대해 외부의 관점에서 바라본 허점을 찾아내 알려주는 ‘버그바운티’에 대한 관심이 높아지고 있는 추세다.

해외의 경우, 2010년 구글의 참여를 시작으로 버그바운티 프로그램이 다양해지고 포상 규모가 커지며 그 참여도가 급격히 높아졌다. 구글은 취약점, 패치, 크롬, 안드로이드, 구글 플레이 보상 프로그램 등 제품/서비스 별로 구분한 7개의 버그바운티 프로그램을 마련하고, 개개의 프로그램 별로 그 허용 범위와 포상 규모를 차별화하여 전 세계 화이트 해커들에게서 뜨거운 호응을 이끌어냈다. 구글은 2018년 상반기까지 1,200만 달러 (한화 약 135억 원)에 달하는 포상금을 지급한 것으로 나타났다.

마이크로소프트, 페이스북 등의 대형 IT 기업들 역시 이와 같은 흐름에 동참함에 따라, 버그바운티 규모는 날로 확장되고 있다. 자체적으로 버그바운티 프로그램을 운영하기 어려운 기업들 역시 HackerOne, BugCrowd등의 대행사를 통해 소프트웨어, 오픈소스, 블록체인 등 다양한 분야에 대한 버그바운티 프로그램을 운영하고 있다. 2018년 기준, 페이스북과 버그바운티 대행사 HackerOne은 각각 110만 달러 (약 12억 원), 3천만 달러 (약 335억 원)을 버그바운티 포상금으로 지급했다.

반면, 국내 기업의 버그바운티 참여율은 높지 않은 편이다. 현재, 한국인터넷진흥원을 중심으로 버그바운티를 확산시키기 위한 노력이 지속되고 있고, 의욕적으로 자체 버그바운티 프로그램을 운영하는 기업도 나타나고 있지만, 아직은 해외에 비해 그 참여율과 포상금 규모가 현저히 낮은 수준이다. 실제로 한국인터넷진흥원 조사에 따르면, 2018년 한 해 신고된 취약점은 1,108 건에 불과했으며 이중 581건에 대해 총 3억 1,200만 원의 포상이 이뤄진 것으로 나타났다. 

국내 버그바운티 제도 활성화를 저해하는 문제점은 무엇일까? 먼저, 기업이 버그바운티 운영에 대한 부담을 가지고 적극적인 투자를 하지 않고 있다는 점을 꼽을 수 있다. 실제로, 기업이 공동 운영사로 버그바운티에 참여할 경우, 기업이 아닌 정부의 예산으로 상당수 포상이 이뤄지고 있다. 버그바운티 범위가 소프트웨어에 한정되어 있다는 점도 문제로 지적된다. 예로, 공격의 교두보로 빈번히 악용되는 웹서비스의 경우, 서비스 운영에 영향을 미칠 수 있다는 이유로 범위에서 제외되어 있는 상황이다.

이와 같은 문제점을 해결하고, 버그바운티 프로그램을 활성화시키기 위해서는 어떤 개선이 이뤄져야 할까? 무엇보다 먼저, 기업 스스로가 버그바운티를 비용이 아닌 투자의 개념으로 받아들이는 인식 변화가 이뤄져야 한다. 기업은 버그바운티를 통해 선제적으로 대응할 수 있었던 취약점을 방치하였을 경우, 기업의 성장과 영속에 영향을 미칠 수 있는 큰 피해가 야기될 수도 있다는 사실을 명확히 인지하고, 외부의 관점에서 바라본 기업의 취약점을 찾는 데 힘을 기울여야 한다.

또한, 버그바운티 프로그램을 다양화하고 포상 규모를 높이는 노력도 요구된다. 구글과 유사한 형태의 세분화된 프로그램을 운영할 경우, 기업에서는 서비스/제품 별로 취약점을 관리할 수 있고 화이트 해커는 자신이 관심을 가진 분야에 참여할 수 있어 그 효과가 극대화될 수 있다. 또한, 적정한 수준으로 포상금을 올린다면, 해커가 더 큰 금전적 이익을 얻기 위해 기업에게 취약점을 알리는 대신 블랙마켓에 이를 판매할 가능성도 현저히 낮출 수 있게 될 것이다.

더불어, 현재 운영 중인 서비스까지 버그바운티 범위에 포함할 수 있도록, 정부 차원의 노력도 뒷받침되어야 할 것으로 보인다. 국내 정보통신망법(제71조 제10호 및 제48조 제3항)에 따르면 실제 서비스 중인 웹사이트나 시스템에 영향을 줄 수 있는 취약점은 버그바운티 평가 및 포상 대상에서 제외되어 있는 상황이다. 이에 대한 점검이 이뤄질 수 있도록 정보통신망법에 대한 적절한 해석과 그에 따른 개선이 이뤄졌으면 한다.