전병헌, 취약한 보안의식 제고 위한 ‘버그바운티’제도 필요

​

"IT강국이라는 것이 민망할 정도로 정보보안 인식수준 낮은 상태"

   

[신형수기자] 새정치민주연합 전병헌 의원이 8일 국정감사 정책제언집 <취약한 보안의식 제고를 위한 버그바운티 제도의 적극 도입 제안>을 발간하며, 정보보안 강화를 위한 한국인터넷진흥원의 '취약점 신고포상제'가 향후 나아가야할 정책적 방안에 대해 제언했다.

   

'버그바운티'(Bug Bounty)는 내부 보안 전문가가 아닌 외부에서 서비스에 대한 버그 등의 취약점을 찾아낸 사람에게 보상금을 지급하는 제도를 말한다.

   

초창기 버그바운티 제도는 자사의 취약점을 알려주는 사람에게 티셔츠 등 작은 기념품 등을 선물하는 정도에서 출발했으나, 사이버보안에 대한 중요성이 부각된 이래 거액의 보상금을 주는 등의 제도가 확립됐다.

   

세계적인 IT기업인 마이크로소프트, 구글, 페이스북 등에서는 이미 이러한 제도가 굉장히 활성화돼 있어, 버그바운티 제도를 통해 제보받은 자사의 취약점을 지속적으로 보안 업데이트 등을 통해 보완하고 있고, 누적 보상금 지급규모 또한 수십억원 규모에 달한다. 하지만 국내의 경우 자발적으로 버그바운티를 시행하고 있는 대기업은 아직 삼성전자가 유일하며, 그것 또한 스마트TV에만 한정되어 있고 보상금 규모가 작아 유명무실한 상황이다.

   

인터넷진흥원은 취약점신고 홈페이지를 운영하며 자체적으로 S/W신규 보안 취약점 신고포상제를 시행하고 있고 일정 성과를 거두고 있는 것으로 평가되지만, 아직 신고 포상금 규모가 최소 30만원에서 최고500만원 수준에 머물고 있고 공동운영사가 2개사(한글과컴퓨터·네이버)에 불과해 더욱 더 적극적인 운영이 필요하다.

   

전병헌 의원은 "작년 1억건이 넘는 개인정보 유출로 전국민을 충격에 빠뜨린 카드사 개인정보 유출사건을 비롯해 크고 작은 개인정보 유출사고가 끊이지 않고 있는데, 정부 규제는 약하고 정보보안에 대한 인식 수준도 별로 변한 것이 없다"라며, "유출사고가 발생해도 해커의 책임으로만 돌릴 뿐 보안조치를 제대로 못한 기업의 책임을 묻지 않는 상황에서, 어느 기업이 막대한 돈을 들여 보안에 투자하겠나"라고 지적했다.

   

이어 "보안 수준만 놓고볼때는 우리나라를 'IT강국'이라 부르기도 민망할 정도로 문제가 많은데, 글로벌IT업계를 선도하는 기업들이 정보보안 문제를 어떻게 해결하고 있는지 들여다보고 이들이 적극적으로 활용하고 있는 '버그바운티'제도에 대해 적극적으로 배워 도입해야 한다"며, "버그바운티 제도야 말로 회사 내부인력으로만 해결하기 힘든 어려운 보안문제를 '집단지성'의 힘을 빌어 해결할수 있는 창조적인 인재활용 제도"라고 말했다.

   

아울러 "물론 민간기업의 자발적 참여가 가장 중요하지만, 기업의 문화나 인식이 저절로 바뀌는 것을 마냥 기다리기만 할 수는 없는 것"이라며, "정부 차원에서 버그바운티를 적극적으로 제도화하고, 대기업들은 물론 S/W분야별 대표기업, 취약점 신고가 많은 기업들을 대상으로 홍보책을 마련하여, 더 많은 기업들이 이에 참여할 수 있도록 특단의 조치를 취해야 할 것"이라 밝혔다.

[출처] 전병헌, 취약한 보안의식 제고 위한 '버그바운티'제도 필요|작성자 신형수 현 언론인