"KISA 해킹대회, '뚫으려면 뚫어 봐' 아니다"

올초 김석환 한국인터넷진흥원(KISA)장이 취임 후 첫 기자간담회 자리에서 연내 '핵 더 키사(Hack the KISA)'라는 해킹대회를 기관 자체 행사로 열겠다고 예고했다. 과거 미국 국방부 주관으로 치렀던 '핵 더 펜타곤(Hack the Pentagon)'을 참조해, 대회 참가자들이 KISA 홈페이지 서비스를 운영하는 기관 자체 정보자산에서 보안취약점을 찾도록 한다는 구상이었다.

이후 최근까지 KISA 자체 해킹대회의 구체적인 대회 운영 방식, 추진 일정은 공개되지 않았다. 다만 KISA 이동근 침해사고분석단장이 2일 현재까지 밝힐 수 있는 대회 운영 방식과 추진 일정을 대략 제시했다. 이미 알려진 내용에 더해 핵 더 키사 해킹대회를 기획하고 추진하게 된 배경을 추가로 설명했다. 구체적인 일정과 세부 추진절차는 여전히 조율 단계로 보인다.

■ "Hack the KISA 해킹대회, 올해 4분기 개최"

이동근 단장은 "핵 더 키사는 참가자들이 KISA 홈페이지를 대상으로 모의해킹을 진행하고, 발견한 취약점을 KISA에 신고한 다음, KISA가 그 내용을 평가해 시상하는 것으로 올해 4분기 개최를 목표로 추진 중"이라면서 "내부 정보자산을 대상으로 하는 연간 보안점검, 백업관리 등 절차를 어느 정도 마친 이후 시점에 대회를 개최하려고 한다"고 설명했다.

이어 "핵 더 키사 해킹대회의 모의해킹 대상 영역은 KISA 홈페이지 중 일부로, 참가신청이 마감된 이후 참가자들에게 일괄 통보할 예정"이라고 말했다. 또 "(현재 KISA에서 운영 중인 소프트웨어 취약점 신고포상제처럼) 발견 취약점 평가를 위한 기준을 마련하고 있다"면서 "10월쯤 (보도자료 등으로) 개최를 알리고 11~12월중 세부 일정 공지 후 시행하겠다"고 덧붙였다.

해킹대회 개최 배경 설명이 이어졌다. KISA 측이 앞서 밝힌대로 미국 국방부가 치른 자체 홈페이지 해킹대회를 참조하고 있다는 내용이었다. 이 단장은 단순히 비슷한 대회를 열겠다는 게 아니라, 국내 기업들이 서비스 취약점 신고포상제를 운영시 참조할 모델을 만들려고 진행하게 됐다고 언급했다. 대회 명칭과 달리 KISA의 보안 수준을 과시할 뜻도 없다고 첨언했다.

■ "화이트해커와 기업의 협력모델"

이 단장은 "핵 더 펜타곤은 미국 국방부 홈페이지 메인화면이 아니라 국방부가 관할하는 웹사이트 5곳을 대상으로 진행됐던 대회로, 신고된 취약점 1천189건 중 138건을 찾아낸 참가자 58명에게 7만5천달러 가량 포상금을 지급하며 마무리됐다"면서 "국방부는 정부기관 중에서도 보안을 많이 신경쓰는 곳인데 최초 취약점이 대회 시작후 13분만에 등록돼, 주최측도 놀라워했다"고 설명했다.

이어 "대회 명칭만 놓고 보면 '뚫어볼 테면 해 보라'는 식으로 보안수준을 과시하는 듯 보일 수 있지만, 실제 취지는 아무리 보안을 중시하는 조직이라도 자체 노력만으론 한계가 있다는 관점에서 기획된 행사였다"며 "핵 더 키사 역시 조직의 보안수준 제고에 참가자의 도움을 구하고, 정당한 보상을 제시해 선의의 화이트해커 활동과 상호협력 모델을 활성화하려는 것"이라고 강조했다.

관련기사

KISA 측은 핵 더 키사 모의해킹대회를 자체 운영해 본 뒤 그 경험을 민간기업에 확산시킬 계획이다. 기업들이 운영하는 온라인서비스와 웹사이트의 보안수준을 강화하고자 화이트해커들의 도움을 구할 때 핵 더 키사의 운영모델을 참고할 수 있도록 하겠다는 구상이다. 현행법상 금지된 외부인의 특정 온라인서비스 취약점 분석 및 제보 활동을 양성화할 수 있을 것으로 기대 중이다.

이 단장은 "대회는 참가자가 취약점 분석 활동과 관련한 법적인 논란을 피하게 해주고 서비스 운영 조직에겐 취약점에 따른 위험부담을 낮춰줌으로써 상호협력을 도모하도록 유도하고자 했다"며 "민간기업이 모의해킹 등으로 보안수준을 제고했던 경영진들의 의구심을 해소하는 전략이나, 신규 온라인서비스 출시에 맞춘 이벤트 성격으로 활용할 수도 있을 것"이라고 언급했다.