한국인터넷진흥원(KISA)은 신규 취약점 신고 포상제를 시행한 뒤 6개월 만에 신고 건수가 약 3배로 급증했다고 15일 밝혔다.
'신규 취약점'이란 소프트웨어(SW)에서 해커가 악용할 수 있는 보안적인 허점을 말한다. 해커는 아직 보안 업데이트가 되지 않는 새로운 취약점을 악용해 제로데이 공격을 감행한다.
SW 개발사에서 추가적인 보안 업데이트를 배포하기 전까지는 이 취약점을 악용한 공격에 노출될 수밖에 없다.
KISA는 지난 2006년부터 취약점 신고를 받아온 데 이어 지난해 10월부터는 국민의 관심과 참여를 도모하고, 우수한 취약점 수집을 확대하기 위해 우수 신규 취약점에 대해 포상금을 지급하는 신규 취약점 신고 포상제를 도입해 운영하고 있다.
6개월 동안 20여건 미만이었던 신고 건수는 포상제 시행 후 60여 건으로 3배 급증했다. 접수된 취약점은 국내 SW의 취약점이 대부분이다. 이 중에는 홈페이지 구축 소프트웨어, PC용 소프트웨어 및 모바일 앱 등이었다. 이 중에는 파급도가 높은 취약점들이 다수 포함됐다.
취약점 평가는 보안 전문가, 관련 업계 종사자 등으로 구성된 평가 위원단에 의해 분기별로 실시되며, 모든 신규 취약점 신고자에게 평가 결과가 통보된다.
KISA 인터넷침해대응센터는 취약점 신고가 접수되면 자체적으로 검증 및 분석 작업을 실시해 관련 업체에 전달한다.
신규 취약점에 대한 보안 업데이트는 경우에 따라 1일에서 두 달까지 소요된다. 홈페이지 구축 SW 취약점의 경우 취약점 개발자에 의해 파악 및 조치가 즉시 가능하나 PC용 SW나 모바일 앱의 경우 모든 과정이 완료되기까지는 2주에서 한 달 정도가 소요된다. 이는 PC용 SW나 모바일 앱의 경우 정밀한 테스트가 필요하기 때문이다.
KISA는 취약점 신고제에 대한 개발사의 반응도 긍정적이라고 평가했다. 일부 개발사에선 취약점 신고자에게 회사 차원에서 사례를 하기도 했다는 설명이다. 그러나 아직 국내 기업에서는 해외보다 취약점 발굴 및 공개에 대해 부정적으로 생각하는 경우가 많아 인식 전환의 노력이 필요하다.
관련기사
- KISA, 중소·영세기업 HTML5 전환 지원2013.05.15
- KISA, 정보보안 맞춤형 수출지원 사업자 모집2013.05.15
- KISA, 2012년 동반성장 우수기관 선정2013.05.15
- KISA, 영세업자 대상 정보보호기술지원 실시2013.05.15
박순태 KISA 해킹대응팀장은 "신규 취약점을 악용한 공격이 지속적으로 증가하고 있어 취약점 신고의 역할이 더욱 중요해 지고 있다"며 "앞으로도 포상 규모 확대·기금 마련 등 다양한 방안을 마련하여 취약점 신고 활성화를 위해 노력할 것"이라고 밝혔다.
신규 취약점 신고는 KISA의 인터넷침해대응센터 홈페이지(www.krcert.or.kr)를 통해 접수할 수 있다.
