LG유플러스가 취약점을 발견.신고하는 화이트 해커에게 보상을 지급하는 '버그바운티' 운영계획을 밝히면서 SK텔레콤, KT 등도 이같은 보안 프로그램을 운영하게 될 지 관심이 쏠리고 있다. 보안업계는 개인정보를 다루는 업체들에 버그바운티가 가장 효율적이고 반드시 필요한 보완 수단이라는 입장이다.
지난 16일 LG유플러스 황현식 대표는 기자간담회를 통해 최근 일어난 보안 침해사고에 사과하면서 ‘사이버 안전 혁신안’을 발표했다. 황 대표는 최고 수준의 보안 체계를 마련하겠다며 외부 보안 전문가와 취약점을 사전점검하고 모의해킹을 통해 보완하는 ‘버그바운티’를 시행하겠다고 밝혔다.
버그바운티란 기업이 내부의 플랫폼. 스마트기기 등의 취약점을 보완하기 위해 화이트해커들에게 현상금을 걸고 시행하는 보안 프로그램의 일종이다. 화이트해커는 취약점의 심각도, 위험성에 따라 그에 걸맞는 액수를 지급 받게 된다. 구글, 애플, 마이크로스프트. 페이스북 등 주요 IT 기업들은 필수적으로 생각하는 보안 프로그램이다.
국내에서도 한국인터넷진흥원(KISA)이 도입을 위한 노력을 꾸준히 하고 있지만 그동안 국내 기업들의 참여율은 저조한 상태다. 삼성전자, LG전자, 네이버, 카카오 등이 버그바운티를 자체적으로 운영하고 있다.
하지만 여전히 외국계 IT 기업들 만큼 활성화된 상태는 아니며 가장 많은 고객 정보를 다루는 SK텔레콤, KT, LG유플러스 등 통신 기업들은 버그바운티 제도를 운영하고 있지 않다. 따라서 LG유플러스의 이번 버그바운티 도입 결정이 통신업계에도 이같은 제도를 정착시킬 수 있을지 귀추가 주목된다.
국내 보안기업 스틸리언 소속 화이트해커 신동휘 부사장에 따르면, 상시적인 버그바운티 프로그램 운영은 플랫폼이나 스마트폰 등의 개인정보를 다루는 기업에겐 반드시 필요하다.
일시적으로 해킹대회를 열거나 외부 보안업체를 통해 취약점을 보완한다고 해도 애플리케이션 등을 활용한 플랫폼은 업데이트가 진행되면 결국 다시 검증을 받아야 되는 상황에 처한다. 또 해킹대회나 외부 보안업체는 정해진 시간 동안 중요한 취약점을 찾지 못했더라도 반드시 일정 금액의 비용이 들어간다.
하지만 버그 바운티는 취약점을 발견했을 때 돈을 지급하는 형태다. 침해사고가 발생한 이후 해커나 정보유출 피해 고객들에게 지급될 금전적 보상과 비교하면 훨씬 적은 비용이 소요된다는 게 신 부사장의 설명이다.
스틸리언 신동휘 부사장은 “애플리케이션 등 프로그램은 매번 업데이트를 통해 새로운 취약점이 발생할 수 있고 해커들 사이에서도 기술 트렌드가 하루가 다르게 바뀌고 진화한다”며 “또 프로그램을 개발하다 보면 개발자는 매일 같은 화면을 보고 있는 만큼 틀에 갇혀 이외의 것을 보기 어려울 수 있다”고 설명했다.
이어 그는 “결국 내부 직원들을 대상으로 버그바운티를 진행하는 것은 효율이 떨어질 수 있다”며 “따라서 현대 사회에서 중요한 개인정보를 다루는 기업에 외부 전문가들을 통한 상시적 버그바운티가 반드시 필요하다”고 밝혔다.
한국인터넷진흥원(KISA) 이창용 취약점분석팀 팀장도 “개발자가 스스로 개발하는 프로그램의 취약점을 찾는 데엔 한계가 존재할 수 밖에 없다”며 “당연히 실제 프로그램 운용 환경에서 사용자가 직접 취약점을 찾는 것이 더 효율적”이라고 설명했다.
그는 또 “취약점 보완을 위해 일회성으로 인력과 비용을 따로 쓰는 것보다 지속 보완해 나가는 편이 효과적인 만큼 버그바운티는 개인정보를 다루는 통신업계에도 필요한 제도”라며 “지난 2012년부터 버그바운티를 시작해 기업들의 참여를 유도하려했으나 아직 미비한 상황”이라고 말했다.
[소비자가만드는신문=최형주 기자]
