보안 취약점 신고 포상제, 버그바운티(Bug Bounty) 제도란 무엇인가?

보안 취약점 신고 포상제, 버그바운티(Bug Bounty) 제도란 무엇인가?

버그바운티(Bug Bounty)란 보안 취약점 신고 포상제로, 이를 허락한 회사의 제품이나 사이트 등에서 보안 취약점을 발견하면 이를 해당 회사에 통보하여 포상금을 받는 제도입니다.

구글, 페이스북, 마이크로소프트 등 글로벌 IT 기업에서는 이미 버그바운티 제도가 굉장히 활발하게 운영되고 있습니다. 누적 보상금이 수십억원에 달할 정도로 보상금에 대한 투자 또한 아끼지 않고 있는데요. 그들이 버그바운티 제도를 지속적으로 유지하는 이유는 해당 제도를 통해 신고받은 취약점을 신속하게 보안 업데이트하여 피해를 미리 예방할 수 있기 때문입니다.

실제로 외국의 경우, 적은 포상금으로 치명적인 취약점을 발견한 사례가 다수 있습니다. 따라서 해당 제도를 통해 기업은 저렴한 비용으로 몇 배 이상의 효과를 기대할 수 있게 됩니다. 뿐만 아니라, 공격자와 보안 전문가들의 관심을 집중시켜 자신들의 시스템에 자연스럽게 유도시킬 수 있고, 이를 통해 광고 아닌 광고 효과도 가져올 수 있습니다. 결과적으로 기업은 사용자들에게 보안과 관련된 신뢰를 얻으며 긍정적인 이미지를 유지할 수 있습니다.

미국은 이미 버그바운티를 도입하는 조직이 크게 증가하는 추세입니다. 400여개가 넘는 사기업은 물론 교육기관 및 정부기관들도 버그바운티를 도입하거나 도입을 고려하고 있다고 합니다.

국내 업계에서는 2006년부터 한국인터넷진흥원(KISA)이 S/W 신규 보안 취약점 신고 제도를 실시하고 있는데요. 포상제 운영 이전에는 1년 신고 건수가 30건에서 40건 정도로 미비하고 유효한 취약점도 많지 않았다고 합니다. 이에 2012년, 버그바운티를 모티브로 S/W 신규 취약점 신고'포상제'를 운영하기 시작했습니다. 

※ KISA S/W 신규 취약점 신고포상제

참가 대상 : 국내/외 거주하는 한국인

신고대상 취약점 : 

S/W에 대한 보안 취약점으로, 최신버전의 S/W에 영향을 줄 수 있는 신규 보안취약점(제로데이 취약점)

평가 및 포상 일정 : 분기별 평가 실시하여 포상금 지급

▶ 자세히 보기

KISA의 경우, 신고된 보안 취약점에 대해 출현도 25%, 영향도 30%, 공격효과성 30%, 발굴수준 15%를 평가하여 최소 30만원부터 최대 500만원까지 포상금을 지급하고 있습니다. 신고된 취약점은 자체적으로 검증 및 분석을 실시한 후 보안 업데이트를 개발할 수 있도록 해당 업체에 전달됩니다.

또한 국내 업체 라인은 2015년 8월 24일부터 한달간 '라인 메신저'에서 보안 취약점을 찾는 버그바운티 프로그램을 운영했습니다. 당시 라인은 최소 500달러(약 59만원)에서 최대 2만달러(약 2,300만원)까지 취약점의 심각도와 중요도를 평가하여 포상금을 지급했습니다.

<이미지 출처 : 라인 웹사이트>

라인은 이후, 해당 제도를 상시 프로그램으로 전환하여 최대 1만달러(약 1,180만원)의 상금을 지급하고 있습니다. 또한 국내 기업 중 삼성전자는 버그바운티를 자체적으로 운영하고 있기도 합니다. 포상제 도입 이후 신고 건수가 증가하고 신규 취약점에 대한 사전예방, 기업의 인식 변화 등 긍정적인 효과를 보이고 있어, 많은 기업들이 적극적으로 나서고 있습니다.

최근 국내에서는 크고 작은 사이버 공격 사건들이 빈번하게 발생하고 있습니다. 개인정보 유출뿐만 아니라, 대규모의 금전 피해를 입을 정도로 단순하게 지나칠 수 없는 큰 사건들이 많습니다. 따라서 공격에 대한 사전 예방을 강화하고, 강력한 대책을 마련해야할 필요가 있습니다.

국내 기업들은 보안 문제를 해결하기 위해 다각도에서 대응 방안을 마련하고, 버그바운티 제도의 도입을 깊이 고려해야 합니다. 이를 위해 기업 문화와 인식이 바뀌어야 하며 자발적인 참여가 중요하겠습니다. 또한 정부 차원에서도 버그바운티를 위한 제도 확립과 아낌없는 지원이 필요해 보입니다.