취약점 공개 부담스럽나...버그바운티에 보수적인 보안업계

취약점 공개 자체를 기업 리스크로 인식하는 문화
'외주 보안기업 통해 해커 침입' LGU+ 사례 주목

국내 산업계 전반에서 '버그바운티(취약점 신고 포상제)' 도입이 빠르게 확산하고 있지만, 정작 보안기업들은 상대적으로 보수적인 태도를 유지하고 있다는 지적이 나온다. AI 기반 공격과 공급망 해킹 위협이 커지는 상황에서 보안기업일수록 외부 검증 체계를 적극 수용해야 한다는 목소리도 커지고 있다.

19일 업계에 따르면 현재 국내 보안 상장사 중 공개형 버그바운티 프로그램을 운영 중인 곳은 지니언스가 대표적이다.

버그바운티는 외부 보안 연구자나 화이트해커가 기업 시스템의 취약점을 찾아 신고하면 포상금을 지급하는 제도다. 글로벌 빅테크와 해외 보안기업들은 이미 이를 핵심 보안 체계 중 하나로 운영하고 있다.

국내에서도 금융권을 중심으로 확산 속도가 빨라지고 있다. 은행·증권·보험 등 전통 금융사는 물론 가상자산사업자와 법인보험대리점(GA)까지 참여 범위가 넓어지는 분위기다.

금융감독원과 금융보안원은 전날 '2026년 금융권 보안취약점 신고포상제(버그바운티)'를 공동으로 운영한다고 밝혔다. 금융회사의 보안 취약점을 외부시각에서 선제적으로 발굴·보완하기 위해서다. IT 플랫폼 기업과 자동차 업계 역시 자사 서비스·소프트웨어 보안 강화를 위해 버그바운티를 확대하는 추세다.

반면 국내 보안업계는 상대적으로 조심스러운 분위기다. 업계에서는 여전히 취약점 공개 자체를 기업 리스크로 인식하는 문화가 남아 있다는 평가가 나온다. 고객 신뢰 하락 우려와 법무 부담, 공공사업 중심 산업 구조 등이 복합적으로 작용하고 있다는 분석이다.

실제 공개형 버그바운티를 적극 운영하는 국내 보안기업 사례는 많지 않다. 지니언스는 보안기업 중 유일하게 2022년부터 외부 연구자 대상 버그바운티를 도입했고, 최근에는 적용 범위를 확대해 운영 중이다. 초기에는 네트워크 접근 제어 솔루션 '지니안 NAC'와 '클라우드 NAC CSM 서비스'만을 대상으로 했던 버그바운티 프로그램은 최근 전 제품 대상으로 확대했다.

안랩 또한 버그바운티 프로그램을 운영하긴 했으나 기업 내부 임직원 대상으로 한정적이다.

비 상장사 중에서는 AI스페라가 버그바운티 적극 운영사로 꼽힌다. AI스페라는 2024년부터 버그바운티 프로그램을 자체적으로 운영해오고 있다. 해외에서 취약점 문의가 거의 매주 들어오고 있다는 게 관계자의 설명이다. 이외에는 적극적으로 버그바운티를 운영 중인 국내 보안 기업이 눈에 띄지 않는 실정이다.

반면 팔로알토네트웍스와 옥타 등 해외 주요 보안기업들은 이미 공개형 버그바운티를 일반적인 보안 체계로 운영하고 있다.

업계에서는 최근 공급망 공격 사례가 잇따르면서 보안기업 역시 예외가 아니라는 점에 주목하고 있다. 대표적으로 LG유플러스 서버 관리 외주 보안기업 시큐어키는 지난해 7월 31일 한국인터넷진흥원(KISA)에 시스템 해킹 피해를 신고했고, KISA는 다음날 기술 지원에 나섰다.

미국 해킹 전문지 프랙(Phrack)이 공개한 자료에 따르면, 해커는 시큐어키를 해킹해 확보한 계정정보를 활용해 LG유플러스 내부 네트워크에 침투했다. 이 과정에서 8938대 서버 정보와 4만2526개 계정, 직원 167명의 정보가 유출된 것으로 알려졌다.

업계는 이 사건을 '보안을 담당하는 기업도 공격 대상이 될 수 있다'는 점을 보여준 대표 사례로 보고 있다. 특히 협력업체를 우회 공격 경로로 활용하는 공급망 공격이 현실화되면서, 폐쇄형 보안 체계만으로는 한계가 있다는 지적도 커지고 있다.

일각에서는 이러한 분위기가 '제로트러스트(Zero Trust)' 원칙과도 대치된다는 지적이 나온다. 제로트러스트는 '아무도 신뢰하지 말고 지속 검증하라'는 개념이 핵심인데, 정작 외부 보안 연구자와 화이트해커 검증에는 여전히 소극적이라는 것이다.

업계 한 관계자는 "국내 기업들은 취약점 제보하면 기업에 대한 간섭으로 인식하거나 공격 행위로 간주해 이미지 실추 등의 이유로 제도 도입에 소극적"이라며 "인력 또한 부족해 프로그램 운영에 한계가 있다"고 토로했다.

이인애 머니투데이방송 MTN 기자