화이트해커에 인센티브 주고 보안 강화 '버그바운티'…韓 포상금 부족 지적

KISA 중심으로 진행…국내 기업 22곳과 공동운영
비교적 낮은 보상 규모…"민간 기업 참여 높지 않아"

사이버 테러 ⓒ News1 DB

(서울=뉴스1) 오현주 기자 = 최근 전 세계적으로 보안 위협이 잇따르자 '버그바운티'(취약점 보상 프로그램) 제도가 주목받고 있다.

국내에서는 정부 주도로 진행돼 민간 기업의 참여율이 낮다는 지적이 나온다.

2일 업계에 따르면 '버그 바운티'는 특정 기업의 소프트웨어(SW) 또는 웹 서비스 내 보안 취약점을 발견한 화이트(착한) 해커에게 금전적 보상을 해주는 프로그램이다.

해외에서는 일찌감치 자체 버그바운티가 활성화됐다. 구글·마이크로소프트(MS)·메타(옛 페이스북) 등 주요 글로벌 기업은 일찌감치 주목한 분야다.

구글은 2010년, 메타는 2011년 도입했다. MS는 2013년 해당 제도를 운영하기 시작했다.

국내 버그바운티는 한국인터넷진흥원(KISA)에서 주도적으로 이끌고 있다. KISA는 빅테크 기업을 모델로 삼아 2012년부터 'SW 취약점 신고포상제'를 운영하고 있다. 분기마다 우수 취약점을 선정해 보상금을 준다.국내 기업과 공동 운영한 것은 2014년부터다.

KISA 버그바운티 제도를 통한 취약점 신고 건수는 매년 꾸준히 늘고 있다. 2012년 23건으로 출발해 2021년 1727건을 기록했다.

글로벌 사례처럼 자체 버그바운티를 운영하는 기업도 일부 있다. 네이버는 2019년 9월, 카카오는 지난해 11월부터 버그바운티를 독립적으로 실시하고 있다. 지니언스는 보안기업 최초로 지난해 3월부터 자체 취약점 신고 포상제를 운영하고 있다.

업계에서는 국내 버그바운티가 아직 걸음마 단계라고 본다. KISA와 함께 신고포상제를 운영하는 기업은 22곳에 불과하다.

포상 금액도 높지 않다. KISA를 통한 포상금 규모도 최소 5만원·최대 1000만원이다.

업계 관계자는 "아직 국내 기업들은 '보안 취약점'이 외부에 알려지는 것을 꺼리는 분위기가 강하다"며 "밖에서 보안 취약점을 제보받으면 간섭으로 여기거나 이미지 실추 등이 이유로 제도 도입에 소극적"이라고 말했다.

KISA 버그바운티 포상금 과반이 정부 예산이라는 지적도 있다. 민간기업의 참여 비중이 더욱 높아져야 한다는 주장이다.

국회 과학기술정보방송통신위원회 소속 변재일 더불어민주당 의원이 KISA로부터 제출받은 자료에 따르면, 2018년부터 지난해 상반기까지 5년간 지급된 포상금액 14억1600만원 중 11억7138만원은 정부 예산이었다. 이는 전체 포상금의 80% 이상이다.

woobi123@news1.kr