KISA 뚫는 해킹대회 4분기 개최 … ‘화이트해커’ 키운다

[이뉴스투데이 김은지 기자] 한국인터넷진흥원(KISA)이 보안 취약점 신고 포상을 활성화하기 위한 일환으로 '핵 더 키사(Hack The KISA)'를 개최한다. 자체 버그바운티(bug bounty)를 통해 화이트해커를 발굴·육성하기 위한 취지다. 화이트해커는 인지도를 높이고 상금을 획득할 수 있다. 기관은 보유한 정보자산 대상 보안 위협에 선제적으로 대응해 비용 절감이 가능하다.

KISA는 미 국방부의 '핵 더 펜타곤(Hack The Pentagon)' 사례를 참고해 올해 4분기 중 핵 더 키사를 개최한다고 2일 밝혔다. 미국 정부 기관들은 2016년 '핵 더 펜타곤' 을 시작해 버그바운티 제도 도입을 활발하게 진행 중이다.

2016년 개최된 '핵 더 펜타곤'은 미 국방부 관할 웹사이트 5곳을 대상으로 진행했으며, 시작 후 13분 만에 최초 취약점이 제보되는 등 성과를 거뒀다. 이 버그바운티에는 약 1410명이 참가했고 총 취약점 신고는 1189개, 선정된 취약점은 138개를 기록했다. 핵 더 펜타곤 대회에서 포상을 지급받은 화이트해커는 58명으로 총 7만5000달러(약 8300만원)의 상금을 지급받았다. 

미 국방부에 외에도 구글, MS 등 해외 주요 IT기업은 소프트웨어에 집중한 버그바운티를 운영하고 있다. 페이스북도 자사 홈페이지의 취약점을 찾기 위해 이를 도입했다. 실제 국내 화이트 해커 중 1인자로 꼽히는 이정훈 씨는 구글과 MS 등 세계적인 IT 기업의 보안망을 뚫으며 매 버그바운티마다 억대 상금을 획득 한 바 있다.

국내에 버그바운티는 2006년 처음 도입됐으며 초기에는 보상금이 없었다. KISA 입장에서는 기업들의 참여를 이끌어내야 하는 점, 서비스 취약점 발견에 대한 포상이 없다는 점을 해결하는 것이 과제였다. KISA는 2012년 10월부터 화이트해커들에게 버그바운티 포상금 지급을 시작했다.

현재 KISA는 14개사와 보안 취약점 신고 포상제를 공동 운영하고 있으며 ▲한글과컴퓨터(2014년 2분기) ▲네이버(2015년 2분기) ▲카카오(2016년 1분기) ▲네오위즈게임즈(2016년 3분기) ▲이스트시큐리티(2017년 1분기) ▲이니텍(2017년 2분기) ▲잉카인터넷·LG전자(2017년 3분기) ▲지니어스·카카오뱅크·안랩(2017년 4분기) ▲하우리(2018년 1분기) ▲엑스블록시스템즈·블록체인오에스(2018년 3분기) 등이 참여하고 있다. 국내 기업 중 삼성전자는 자체적인 버그바운티를 운영 중이다. 

이동근 KISA 침해사고분석단장은 "한글과컴퓨터를 시작해 보안 취약점 신고 포상제 공동운영을 하고 있으며 기본적 플랫폼은 KISA가 제공하고 보상금을 해당 기업에서 제공하는 형태이다"며 "이후 네이버와 카카오 등이 참여해 현재 14개로 확대됐고, 홍보를 통해 기업들의 적극적인 참여를 끌어내는 것이 필요한 부분이다"고 말했다. 

버그바운티 포상금은 정부와 공동운영사가 함께 지급하고 있다. 포상액 중 KISA가 지급하는 금액이 2016년 이후 감소하는 양상을 보이고 있는데 이는 기업들의 버그바운티 참여 확대되고, 기업이 직접 포상액을 지급하는 사례가 늘어났기 때문이다. 또 올해 1분기에는 보안 취약점 신고 최고 포상 금액이 500만원에서 1000만원으로 상향됐다. 

KISA는 포상제 공동운영기업 참여 확대를 이끄는 한편, 이벤트 성격의 집중신고 포상제도 운영 중이다. 최신버전 소프트웨어에 영향을 줄 수 있는 신규 취약점을 대상으로 출현도·영향도를 평가하고 점수에 따라 포상금을 지급하는 이벤트다. 포상은 1년에 4번, 분기별로 이뤄진다. 

KISA에 따르면 이같은 포상제 제도로 공유기, IP카메라 등 IoT 관련 취약점 신고건수는 2013년 4건, 2014년 6건에서 2015년 130건, 2016년 362건, 2017년 347건으로 급증했다. 

이 단장은 "보안 취약점 신고 포상제 추진을 통해 취약점이 오픈되는 것이 부정적인 것이 아니라, 자사 서비스와 보안 수준을 업그레이드 할 수 있는 좋은 기회"라며 "제도 활성화를 통해 건전한 보안생태계를 만드는 것이 목표"라고 강조했다.

KISA는 기업들의 버그바운티 추진 참여를 이끌어내는 방안으로 '핵 더 키사'도 4분기 중 진행할 예정이다. 일정 기간에 제한을 두고 취약점 신고를 허용하지만, 참가 신청을 하지 않고 해킹대회에 참여하는 것은 불법이다. 핵 더 키사에 정식 참여하지 않고 해킹을 할 경우 정보통신망법 48조에 따라 5년 이하의 징역 또는 5000만원 이하의 벌금에 처해질 수 있어 주의가 필요하다.

끝으로 이 단장은 "핵 더 키사는 보안을 과시하기 위한 행사가 아니라 화이트해커들과 상호 협력해 나가는 모델"이라며 "앞으로 특정 기업이 새 서비스를 만들고자 할 때, 이같은 버그바운티를 확대할 수 있길 바란다"고 강조했다.