보안 취약점 신고 포상금 작년 2.5억…"기업 참여 확대"

보안 취약점 신고 포상금 작년 2.5억…"기업 참여 확대"
공동운영사 지급액 증가…4분기 KISA 홈페이지 모의해킹대회 개최


(서울=연합뉴스) 고현실 기자 = 지난해 신규 보안 취약점 신고 포상금으로 약 2억5천만원이 지급된 것으로 나타났다.
2일 한국인터넷진흥원(KISA)에 따르면 보안 취약점 신고제에 따라 지급된 포상금은 작년 2억5천190만원으로 전년(2억9천885만원)보다 4천695만원 줄었다.
반면 신고 건수는 696건에서 810건으로 늘었고, 포상 건수도 382건에서 411건으로 증가했다.
'버그 바운티'(Bug Bounty)로 불리는 보안 취약점 신고제는 소프트웨어나 서비스의 신규 취약점을 찾아낸 개인에게 보상하는 제도다. 국내에는 2006년 도입됐고, 2012년부터 포상금이 지급되기 시작했다.
KISA는 공동 운영사와 함께 분기별로 포상금을 지급한다. 포상금은 건당 5만∼1천만원으로, 위험하고 파급도가 큰 취약점에 많이 배정된다.
재원은 KISA가 정부 예산으로 지급하는 금액과 민간 기업인 공동운영사가 주는 금액으로 나뉜다. 지난해 KISA 지급액은 1억9천360만원으로 전년보다 6천만원가량 줄어든 반면 공동운영사 지급액은 5천830만원으로 약 1천만원 늘었다.

공동운영사들은 자사 취약점이 발견된 경우에만 포상금을 지급한다. 현재 공동운영사로는 한글과컴퓨터[030520], 네이버, 카카오[035720] 등 14개 업체가 있다.
공동운영사들은 취약점 신고 내용을 자사 제품을 보완하는 데 활용하게 된다.
KISA는 앞으로 공동운영사를 늘리고, 홈페이지 등으로 취약점 신고 포상제를 확대할 방침이다.
하지만 현재 운영 중인 홈페이지(웹서비스)는 현 정보통신망법에 따라 취약점 발굴 활동 자체가 불법으로 간주될 우려가 있다. 정보통신망법 48조는 정당한 접근 권한 없이 정보통신망에 침입하는 행위를 금지하고 있다.
KISA는 법적 논란을 피하고자 우선 KISA 홈페이지의 취약점을 찾는 모의해킹대회 '핵 더 키사'(Hack the KISA)를 4분기, 이르면 10월 중 개최할 예정이다.
KISA 관계자는 "취약점 공개는 보안을 개선할 기회"라며 "추후 기업 동의를 얻어 취약점 발굴이 필요한 서비스와 홈페이지를 선정해 취약점 발굴 모델을 확산할 계획"이라고 말했다.
okko@yna.co.kr
(끝)


<저작권자(c) 연합뉴스, 무단 전재-재배포 금지>