美엔 있고 韓엔 없다? '보안취약점 포상'

화이트 해커가 보안취약점을 찾아내 관련 회사에 이를 알려줬다. 한 회사는 고맙다며 사례금까지 지급한 반면 다른 회사는 왜 허락도 없이 취약점을 찾아냈냐며 누가 밝혀낸 것인지 알아내라고 담당자를 윽박질렀다. 전자가 미국 글로벌 IT회사라면 후자는 우리나라 회사들이다.

21일 한국인터넷진흥원(KISA) 및 국내 보안업계 관계자들은 우리나라는 여전히 보안취약점에 대해 포상을 실시하고 발견된 취약점을 공유하며 이를 보완하는 일련의 과정에서 걸음마 수준에 머물고 있는 것으로 나타났다.

미국의 경우 글로벌 IT회사들이 보안취약점을 찾아내기 위해 해킹방어대회를 개최하는가 하면 자사 보안취약점 게시판도 적극적으로 운영하고 있다.

대표적인 사례가 피우니움(Pwn2Own)이라고 하는 해킹방어대회다. 캔섹웨스트(CanSecWest) 보안 컨퍼런스의 부대행사인 이 대회에는 수많은 화이트해커들이 참가해 윈도, 안드로이드, iOS 등의 운영체제(OS)에 대한 취약점을 발표한다. 인터넷익스플로러(IE), 크롬, 파이어폭스 등 웹브라우저는 물론 플래시, 자바 등 서드파티앱에 대한 최신 취약점도 모두 이 자리에서 공개된다.

지난 3월 캐나다 밴쿠버에서 개최된 피우니움에는 총 314만달러(약 35억원)의 상금이 걸렸다. 이날 행사에서 프랑스 보안회사 뷰펜은 IE10과 파이어폭스, 플래시, 자바 등의 취약점을 공개해 25만달러의 상금을 거머쥐었다. 이 대회는 MS, 구글, HP, 인텔, 페이스북 등 주요 IT회사들의 후원을 받고 있다.

MS는 가장 많은 해킹의 표적이 되는 만큼 시큐리티 블레틴과 같은 별도의 보안블로그를 운영 중이다. 이를 통해 알려진 취약점은 정기업데이트에 적용된다. 상세한 기술적인 내용까지 자사 사이트를 통해 공개적으로 다룬다. 이 회사는 지난 2002년부터 빌 게이츠 전 MS 회장 주도로 '신뢰할 수 있는 컴퓨팅(Trustworthy Computing, TwC)' 이니셔티브를 운영하고 있기도 하다.

■프로그램 취약점 공개 꺼리는 기업이 원인

반면 우리나라에서는 여전히 보안취약점을 공개적으로 밝히고 적절한 보상을 하는데 인색한 편이다. 방송통신위원회 주관으로 KISA는 지난해 10월부터 취약점 신고제도를 활성화하기 위해 신고포상제를 운영 중이다. 보상금액은 최대 500만원이다. KISA측은 포상제를 실시한 뒤로 6개월만에 신고 건수가 약 3배로 급증했다고 밝혔다.

그러나 아직까지는 제로보드, 그누보드, 테크노트와 같은 공개게시판 제작툴에 대한 취약점이 주로 보고되고 있다. 이밖에도 아래아한글, 알집, 네이트온 등에 대한 취약점도 접수되고 있으나 건수 자체는 상대적으로 적은 것으로 나타났다.

문제는 여전히 해당 회사들이 자사가 개발한 프로그램에 대한 취약점이 공개되는 것을 꺼린다는 점이다. 이와 관련 KISA 관계자는 대부분의 개발회사들이 취약점이 알려지는 것 자체에 대해 보수적인 입장이라고 밝혔다.

익명을 요구한 보안관계자는 취약점을 통보했는데 해당 회사에서 오히려 니가 뭔데 우리 취약점을 알아내냐며 고소하겠다고 말하는 경우도 종종 있다고 말했다. 외국에서처럼 포상제도가 활성화되지 못하는 이유 중 하나다.

미국 IT회사들이 취약점을 공개 게시판에 게시하고 이에 대한 보안대책을 함께 마련하는 작업에 공을 들이는 것과는 다른 모습이다.

이와 관련 국내 보안컨퍼런스 코드게이트의 해킹방어대회 우승자인 이종호 라온시큐어 보안기술연구팀 연구원은 해외에서는 자바 보안취약점이 2천만원, IE의 신규 보안취약점에 대한 포상금이 1억원대를 호가한다고 설명했다.

관련기사

윤광택 시만텍 코리아 이사는 해외에서는 시큐리티포커스닷컴과 같이 취약점을 데이터베이스 형태로 구축해 놓고 공개된 형태로 운영하거나 보안전문 리서치 회사가 취약점을 해당 SW벤더에게 신고하는 경우가 있으나 국내에서는 이를 무시하거나 자신들이 취약점을 알아내 보완한 것처럼 말하는 경우도 있다고 말했다.

윤 이사는 이어 SW에는 취약점이 존재할 수밖에 없다는 점을 전제로 필요한 보안조치를 강구할 필요가 있다고 강조했다.