[디지털데일리 김보민기자] 국내 기업을 겨냥한 해킹 공격이 거세진 가운데 '버그바운티' 제도를 활성화해야 한다는 지적이 나왔다. 또한 기업이 정부가 제공하는 취약점 정보에만 의존하지 않도록 제도 실효성을 높여야 한다는 의견이 제기됐다.
한민수 의원(더불어민주당)은 21일 국회 과학기술정보방송통신위원회 국정감사에서 "미국과 유럽연합(EU) 등 해외는 이미 버그바운티가 활성화돼 있지만 국내 기업은 자발적인 보안 투자 의지가 여전히 부족하다"며 "보안 취약점을 스스로 찾고 보완하는 데 투자를 아끼지 않아야 한다"고 밝혔다.
버그바운티는 소프트웨어와 웹 서비스의 보안 취약점을 발견해 신고한 사람에게 포상금과 인센티브를 지급하는 제도다. 취약점 신고 포상제도라고 부르기도 한다.
한 의원실에 따르면 최근 5년간 기업의 취약점 신고 포상금 16억원 가운데 14억4000여만원을 한국인터넷진흥원(KISA)이 지급했다. 현행 제도는 정부 및 KISA와 기업이 예산을 분담하는 방식으로 운영되는데, '공동운영사'로 참여하는 기업에 한해서만 포상금을 기업이 부담하게 돼 있다. 나머지 기업에 대한 포상금은 정부 예산으로 지급된다.
이날 현장에 참석한 김승주 고려대 정보보호대학원 교수는 "처음에는 국내에 취약점 신고 포상제도가 정착되지 않았기 때문에 일정 부분 세금을 투입해야만 했다"면서 "이제는 취약점 정보를 업체가 스스로 구해서 스스로 제품을 업데이트하려는 노력을 해야 한다"고 말했다. 이어 "업체는 만성에 젖어 '국가가 취약점 정보를 사서 주는구나' 하며 면역력이 없어진 것"이라고 지적했다.
김 교수는 최근 보안사고가 거세진 것과 달리 관련 투자에 대한 기업의 인식이 저조하다고 시사했다. 그는 "국민 세금을 들여 업계 취약점을 찾아주는 것을 지양해야 한다"며 "자동차 업체가 리콜을 하는데 비용 중 일부를 국가가 대주는 것이나 마찬가지"라고 비유했다. 그러면서 "영세업체의 경우 지원이 필요하겠지만 지금 같은 무차별적인 지원에는 문제가 있다"고 말했다.
취약점을 인지하더라도 보안 업데이트를 강제할 방안이 없는 것도 문제점이라고 꼬집었다. 김 교수는 "취약점을 찾고 KISA에 통보한 뒤 해당 업체에 알리더라도 업데이트하지 않고 방치하면 방법이 없다"고 밝혔다.
해외 사례를 착안할 필요가 있다고 강조하기도 했다. 김 교수는 "구글 프로젝트 제로(Project Zero)'의 경우 취약점을 분석한 뒤 (해당 업체에) 통보한 뒤 90일이 지나면 논문 또는 블로그에 정보를 공개한다"며 "3달 안에 취약점을 업데이트하지 않으면 더 큰 문제가 생길 수 있다고 압박하는 것"이라고 말했다.
'">
'">
'">
'">
