"KISA 보안 취약점 신고 보상액 83%가 정부 예산"

기사내용 요약
보안 취약점 발견한 사람에게 포상금 지급…보안 취약점 선제 대응 취지
보상금, 민간 기업·정부 예산으로 지급…해외 SW기업 관련 신고에도 지급
변재일 의원 “대기업·중견기업 참여할 수 있도록 인센티브 마련 등 필요”

국회 과학기술정보방송통신위원회 소속 변재일 더불어민주당 의원(왼쪽)이 KISA로부터 제출받은 자료에 따르면 지난 2018년부터 올해 상반기까지 5년간 지급된 포상금액 14억1600만원 중 11억7138만원은 정부 예산이었다. (사진=공동취재사진) *재판매 및 DB 금지

[서울=뉴시스]송종호 기자 = 한국인터넷진흥원(KISA)이 운영하는 보안취약점 신고포상제도(버그바운티)와 관련해 보상액 83%가 정부 예산으로 지급된 것으로 나타났다.

11일 국회 과학기술정보방송통신위원회 소속 변재일 더불어민주당 의원이 KISA로부터 제출받은 자료에 따르면 지난 2018년부터 올해 상반기까지 5년간 지급된 포상금액 14억1600만원 중 11억7138만원은 정부 예산이었다.

버그바운티는 기업의 서비스나 제품을 해킹해 보안 취약점을 발견한 사람에게 포상금을 주는 제도를 말한다. KISA는 상시로 보안 취약점을 신고 받고 분기별로 보안 전문가가 참여하는 평가위원회를 구성해 취약점을 평가하고 있다. 또 평가를 통해 신규 취약점을 발견한 신고자에게 최대 100만원을 보상해준다.

보상금은 민간 기업과 정부의 예산으로 지급됐다. 버그 바운티 프로그램 공동 운영사로 참여하는 민간 기업의 경우 자사 취약점 신고자에 대한 포상금은 자체 부담한다. 나머지 기업에 대해서는 KISA가 정부 예산으로 지원하는 방식이다. 하지만 변 의원은 “전체 포상금의 80% 이상이 정부 예산”이라고 지적했다.

특히 정부 예산 지원을 받은 곳에는 대기업과 해외 기업도 포함됐다. KISA는 2020년부터 올해 상반기까지 대기업 보안취약점 120건에 대해 정부 예산 6935만원을 지급했다. 또 해외 기업의 소프트웨어(SW) 관련 신고 건수 22건에도 1195만원이 주어졌다.

변 의원은 “보안취약점 신고포상제의 실효성 있는 제도 운영을 위해 국회가 5월 법적 근거를 마련했음에도 불구하고, 여전히 민간사업자 참여가 저조한 실정”이라며 “정부 지원은 국내 중소기업으로 한정하고 투자 여력이 있는 대기업·중견기업이 공동운영사로 참여할 수 있도록 인센티브 마련 등 제도 보완이 필요하다”고 말했다.

☞공감언론 뉴시스 song@newsis.com