이니텍도 '버그바운티' 참여 …활성화는 '아직'

KISA 버그바운티 6번째 업체


[아이뉴스24 김국배기자] 국내 기업들이 소프트웨어(SW) 결함을 찾아내는 해커에게 돈을 지급하는 이른바 '버그 바운티(Bug Bounty)'에는 지갑을 열지 않고 있다.

최근엔 이니텍, 이스트시큐리티 등 보안 회사들이 한국인터넷진흥원(KISA)이 운영하는 버그 바운티 제도에 참여키로 했지만 여전히 '극소수'에 불과하며 자체적으로 실시하는 기업은 더 찾아 보기 힘들다.

25일 KISA에 따르면 이니텍은 올 2분기부터 KISA와 'SW 신규 취약점 보상제'를 공동 운영하기로 했다.

한글과컴퓨터, 네이버, 카카오, 네오위즈게임즈와 최근 합류한 이스트시큐리티에 이은 여섯 번째다. 이니텍의 경우 모바일 보안(모빌리언·모아싸인), 인증 솔루션(크로스웹)이 대상이다.

버그 바운티는 외부 전문가의 힘을 빌려 SW 결함을 빠르게 찾아 조치할 수 있는 방법으로 여겨지지만 국내에는 아직 정착하지 못했다는 평가가 나온다.

KISA가 지난 2012년부터 이 제도를 운영하기 시작했지만 참여 기업이 크게 늘지 않고 있는 것. 국가사이버안전센터(NCSC), 삼성전자, 네이버를 제외하고는 단독으로 운영하는 곳도 찾아보기 힘들다. 알려진 국내 기업을 모두 합쳐도 10곳 정도에 불과한 셈이다.

지난해 전체 포상금은 2억9천885만 원으로 2015년 2억1천910만원에서 소폭 늘었다. 올 1분기까지 KISA 버그바운티 전체 누적 포상 건수는 973건, 포상금은 8억8천620만 원을 기록했다.

공동 운영사의 SW 취약점 포상금은 해당 회사가, 그외 다른 회사 SW 취약점에 대한 부분은 KISA가 지급한다.

업계에서는 버그 바운티 활성화가 더딘 이유로 인식 자체가 낮은 데다 취약점 신고를 외부의 간섭으로 여기는 문화 등을 꼽는다. 또 예산 등 비용 문제도 부담으로 작용하고 있는 모양새다.

반면 해외 IT업계에서 버그바운티는 이미 흔한 일이 되고 있다. 기업들의 적극적인 동참이 아쉽다는 지적도 나온다.

이동연 KISA 취약점 분석팀장은 "상반기에만 이스트시큐리티와 이니텍 2개 업체가 추가되는 등 기업들의 인식이 이전보다는 나아지고 있다"고 전했다.

김국배기자 vermeer@inews24.com

관련기사


포토뉴스