해커가 악용할
수 있는 소프트웨어 취약점을 신고하면 포상금을 지급하는 ‘신규 취약점 신고 포상제’가
본격적으로 활성화되고 있는 것으로 나타났다.
한국인터넷진흥원(KISA, 원장 이기주)은 신규 취약점 신고 포상제가 시행 6개월 만에 신고 건수가 약 3배 증가했다고 밝혔다.
지난 2006년부터 취약점 신고를 받아온 KISA는 취약점 수집을 확대하기 위해 지난 10월부터 우수 신규 취약점에 대해 포상금을 지급하기 시작했다. 이에 통상 6개월에 20여건 미만이었던 신고 건수가 포상제 시행 이후 60여건으로 증가했다는 설명이다.
특히 파급력이 높은 취약점이 다수 포함됐다는 점에서 고무적이라고 KISA는 강조했다. KISA에 따르면 접수된 취약점은 국내 소프트웨어가 대부분이었으며 주로 홈페이지 구축 소프트웨어, PC용 소프트웨어, 모바일 앱 순인 것으로 알려졌다.
취약점 평가는 보안 전문가·관련 업계 종사자 등으로 구성된 평가위원단에 의해 분기별로 실시되며 모든 신규 취약점 신고자에게 평가 결과를 통보한다. KISA 인터넷침해대응센터가 자체적으로 검증 및 분석 작업을 실시하고 이후 해당 업체에 전달해 보안 업데이트 개발에 반영하는 절차를 거친다.
개발사 반응도 긍정적이다. 일부 개발사에선 취약점 신고자에게 회사 차원에서 사례를 한 경우도 있었다. 그러나 아직 국내 기업의 경우 국외보다 취약점 발굴 및 공개에 대해 부정적으로 생각하는 경우가 많아 인식 전환 노력이 필요할 전망이다.
박순태 KISA 해킹대응팀장은 “신규 취약점을 악용한 공격이 지속적으로 증가하고 있어 취약점 신고의 역할이 더욱 중요해지고 있다”며 “앞으로도 포상 규모 확대, 기금 마련 등 다양한 방안을 마련해 취약점 신고제를 활성화하겠다”고 말했다.
노동균 기자 yesno@chosunbiz.com