[아이뉴스24 성지은 기자] # 323만건의 숙박이용정보가 유출된 숙박 앱 '여기어때'(2017년), 190만명의 회원정보를 해킹당한 온라인 커뮤니티 '뽐뿌'(2015년)에는 공통점이 있다.
바로 홈페이지 관리 부실로 대량의 고객정보가 유출된 것. 해커는 두 웹 사이트에서 보안 취약점을 찾아 데이터베이스(DB)에 대한 질의 값을 조작하고 원하는 정보를 빼갔다.
최근 웹 사이트 보안 취약점을 통한 개인정보 유출 등 보안 사고가 끊이질 않는 가운데, 한국인터넷진흥원(KISA)이 홈페이지 보안 취약점 신고 포상제를 운영하고 나섰다. 웹 서비스를 대상으로 한 취약점 발굴과 보안 개선 활동의 필요성을 알리기 위해 마련한 행사다.
2일 KISA는 올 4분기 '핵 더 키사(Hack The KISA)'를 개최한다고 밝혔다.
KISA는 원내 홈페이지 가운데 취약점 발굴이 필요한 웹 서비스를 선정하고 약 2주간 참가 신청을 받은 뒤 참가자에 한해 약 2주간 취약점 신고를 접수받는다. 신고받은 취약점은 위험도·파급도 등을 평가해 결과에 따라 포상금을 지급할 예정이다. 아직 포상금 규모는 공개되지 않았다.
이동근 KISA 침해사고분석단장은 "여기어때, 뽐뿌 등에서 홈페이지 취약점으로 개인정보가 유출됐고 콘텐츠 위변조 사고도 여러 곳에서 계속 발생하고 있다"며 "운영 중인 홈페이지 등을 대상으로 취약점을 발굴하고 개선하는 활동이 필요한데, 현행법상 이 같은 활동이 불법으로 간주될 수 있어 해결방안으로 '핵 더 키사'를 기획하게 됐다"고 말했다.
현행 정보통신망법 48조 1항은 '누구든지 정당한 접근권한 없이 또는 허용된 접근권한을 넘어 정보통신망에 침입해서는 안 된다'고 규정하고 있다. 보안 취약점을 발굴하고 제보하면 불법으로 낙인찍힐 가능성이 높다는 의미다. 실제 보안 취약점을 발견해 선의로 해당 사실을 기업에 알린 신고자가 불법 해킹으로 고발당한 사건이 있었다.
이 단장은 "현재 네이버는 웹 서비스에 대해 보안 취약점을 신고받고 포상금을 제공하는 것으로 알고 있다"며 "기업 스스로 제도를 운영하면 보안 취약점 신고 활동이 불법이 아니게 되는데, KISA는 이번 행사를 통해 솔선수범하고 기업들이 행사 운영 과정을 참고해 보안 취약점 신고 포상제를 활성화할 수 있도록 독려하겠다"고 말했다.
◆취약점 신고, 버그 바운티 활성화 할 때
이미 해외에서는 보안 취약점 신고 포상제, 일명 버그 바운티(Bug Bounty) 활동이 활성화돼있다. 이 활동을 통해 기업은 빠르게 보안 패치를 적용하는 등 보안 위협을 선제적으로 막을 수 있어 투자를 확대하는 것. 버그 바운티 플랫폼 제공업체 해커원에 따르면, 지난해 미국 소재 기업은 버그 바운티 포상금으로 1천597만달러(178억원)를 지출한 것으로 집계됐다.
심지어 정부 기관도 버그 바운티를 장려한다. 올해 미 국방부는 '핵 더 펜타곤(Hack The Pentagon)'을 개최하고 국방부 관할 웹 사이트 5곳을 대상으로 취약점을 신청받았다. 이벤트 시작 후 13분 만에 최초 취약점이 등록됐으며, 약 3주간 진행된 행사에서 총 1천189개의 취약점이 접수됐다. 미 국방부는 이 가운데 138개를 선정해 58명에게 총 7만5천달러(약 8천300만원)를 포상했다.
국내에서는 2012년부터 KISA를 중심으로 보안 취약점 신고 포상제를 운영, 현재 14개 기업과 보안 개선 활동을 펼치고 있다. 그러나 국내 버그 바운티는 홈페이지 등 웹 서비스가 아닌 SW 등 제품에 한정된 측면이 있다. 이에 KISA는 올해 행사를 개최하고 버그 바운티 활동을 서비스로 확대한단 목표다.
이 단장은 "보안을 신경 쓰는 미 국방부 또한 13분 만에 보안 취약점을 신고받았다"며 "화이트해커(해킹 범죄를 막는 보안전문가)에게 도움을 요청하고 상호협력하는 모델을 확대해 가능하다면 '핵 더 카카오(Hack The Kakao)' 같은 이벤트도 만들어지길 바란다"고 말했다.
/성지은기자 buildcastle@inews24.com
--comment--
첫 번째 댓글을 작성해 보세요.
댓글 바로가기