[IT사이트] 집단지성으로 SW 취약점 '쏙쏙'…'버그바운티'


오는 2027년 약 6조원 시장 규모…해킹존 등 플랫폼 운영 기업 나오기도

정보통신기술(ICT)이 급격하게 진화발전하면서 현안에 대한 복잡성도 더욱 증대되고 있다. 때문에, 디지털 정보에 뒤쳐진 이들의 소외감도 증가하고 있는 실정이다. 이에 다소 난해한 ICT 용어를 풀어 설명할 수 있는 ICT 리터러시 코너를 마련해봤다. 어려운 ICT를 보다 쉽게 접할 수 있는 기회가 되기를 바란다. [편집자주]

[아이뉴스24 최은정 기자] 여럿이 힘을 합치면 쉬운 일도 훨씬 더 수월하다는 '백짓장도 맞들면 낫다'는 말이 있다. 현대 사회에서는 집단지성 개념이 일맥상통한다. 정보보안에도 집단지성의 힘을 빌리는 분야가 있는데, 바로 버그바운티(bug bounty)다.

버그바운티는 프로그램 오류(버그)를 찾는 사람에게 포상금(바운티)을 주는 제도다. 애플리케이션·소프트웨어 등의 취약점을 보다 빠르게 발견하고 이를 해결해 궁극적으로 해커의 공격을 막는 것이 목적이다. 화이트해커 여러 명이 동시 작업하기 때문에 같은 기간 내 더 많은 취약점을 찾아낼 수 있다는 게 장점.

앞선 1995년 웹서비스 기업 넷스케이프에서 처음 버그바운티를 시작한 것으로 알려져 있다.

버그바운티 관련 이미지

현재 구글, 애플, 마이크로소프트(MS), 페이스북 등 글로벌 기업들이 자체 SW·솔루션 등 보안 강화를 위해 활발하게 버그바운티를 진행하고 있는 상황이다.

버그바운티 시장은 매해 커지고 있다. 시장조사 기관 올더리서치에 따르면, 글로벌 버그바운티 시장 규모는 지난해 2억2천310만 달러(약 2천640억원)에서 오는 2027년 54억6천550만 달러(약 6조4천684억원)를 기록할 것으로 전망된다. 이는 연평균 성장률(CAGR) 54.4%에 이르는 수치다.

최근 앱 등의 업데이트가 잦다는 점도 버그바운티 시장 확대에 긍정적 영향을 미쳤다. 취약점 분석 서비스 대비 업데이트 패치 건별로 진행할 수 있고 비용도 낮아 수요가 늘고 있기 때문.

미국의 경우 이같은 이점으로 연방 정부, 국토안보부, 국방부 등 주요 기관이 버그바운티를 확대 시행하고 있다. 자체 시스템 보안 강화가 주 목적이다.

국내는 민간 SW 대상 버그바운티가 활성화돼 있다. 한국인터넷진흥원(KISA) 버그바운티에는 네이버, 카카오 등 IT기업부터 안랩, 지란지교시큐리티, 이스트시큐리티 등 보안기업과 LG전자, 삼성SDS, 현대자동차 등 대기업 계열사가 참여 중이다. 분기별로 이들 기업의 앱·SW 취약점을 찾게 되면 보상을 받게 된다.

속도는 더디지만 국내 시장도 성장하는 추세다. KISA에 신고된 취약점 중 포상금이 지급된 건수는 지난 2013년 89건에서 2019년 762건까지 늘어 매해 평균 43% 성장한 것으로 나타났다. 전체 포상금 액수도 2013년 1억685만원에서 2019년 3억710만원까지 올랐다.

최근에는 버그바운티 전문 플랫폼을 운영하는 기업도 속속 나오고 있다. 삼성SDS 사내벤처인 해킹존을 비롯해 티오리, 엔키, 파스텔플래닛 등 스타트업 기업들은 화이트해커와 기업 고객을 이어주는 플랫폼을 제공한다. 해외에는 이미 해커원, 버그크라우드 등 주요 기업이 자리하고 있다.

다만 일각에서는 버그바운티가 SW 설계보안 수준을 낮출 수 있다고 우려하기도 한다.

한 업계 관계자는 "SW 개발 단계에서 요구되는 보안을 충족하려면 버그바운티 대비 높은 비용을 지불해야 한다"며 "SW 출시 시기가 지속 앞당겨지는 현 상황에서 기업들이 개발 보안을 간과할 수 밖에 없다"고 지적했다.

그러면서 "설계 단계 보안, 개발 이후 보안을 모두 확보해야 SW 취약점을 해결할 수 있다"고 조언했다.

/최은정 기자(ejc@inews24.com)







포토뉴스