#최근 오픈소스 프로젝트를 공개한 해외 기업 A사는 서비스 홈페이지에 취약점이 발견됐다는 메일을 받고 급히 보안 조치를 했다. 이 기업은 취약점을 제일 먼저 발견해 알려 준 해커 때문에 보안사고를 막을 수 있었다. 이는 A기업이 상시적으로 보안 취약점을 알려주는 개발자에게 상금을 지급하는 프로그램을 시행해서 가능했다.
보안 전문가들은 A기업의 일이 국내에선 일어나기 힘들다고 지적한다. 국내에서 기업이나 개인 홈페이지의 취약점을 발견하기 위해 하는 활동은 불법으로 간주되기 때문이다. 정보통신망법 제48조에 따르면 '누구든지 정당한 접근 권한 없이 정보통신망에 침입해서는 안 된다'고 규정돼 있다. 이를 어기면 5년 이하의 징역 또는 벌금을 물리도록 했다.
대부분의 기업은 서비스 취약점이 알려지면 평판이 하락할 것을 우려해 이런 프로그램을 공개적으로 진행하지 않으려 한다.
김도원 한국인터넷진흥원(KISA) 취약점분석팀장은 "법적 문제는 기업이 허락을 해주면 되기 때문에 기업 인식 부족이 더 크다"고 지적했다.
김 팀장은 "기업 입장에선 자칫 서비스 중단에 따른 손실 발생 위험이 있다"며 "한시적으로 취약점 신고 포상제를 한다 해도 예산 문제와 절차와 평가능력 부족, 향후 대응 등 문제도 남아있다"고 말했다.
4일부터 10일까지 한국인터넷진흥원은 홈페이지와 서비스 취약점을 발굴하고 신고하는 '핵 더 챌린지'를 개최한다. 내부 보안 전문가의 시각을 넘어 집단지성의 힘을 빌려 보안 취약점을 찾아보자는 취지다. 지난해 한국인터넷진흥원 홈페이지만 대상으로 했다면 올해에는 포털사이트 네이버와 전자책 서비스 '리디북스' 운영사 리디, 보안스타트업 '소테리아'가 참여했다.
네이버의 경우 국내에서 가장 많은 사용자층을 보유하면서도 서비스 중단에 대한 우려보다 취약점으로 인한 사고 위험이 더 크다고 판단했다. 게다가 이미 여러 방면에서 방어 시스템이 구축돼 있다는 자신감도 작용했다.
보안 업계 한 관계자는 "집단지성을 통해 보안 취약점을 미리 발견하면 더 큰 사고를 막을 수 있다"며 "해외에선 버그 바운티(신고 포상제)가 활성화돼 있는데 국내에서도 인식의 변화가 필요하다"고 말했다.
해외에선 소프트웨어에서 버그나 취약점 등 보안 문제를 발견한 사람에게 상금이나 포상을 지급하는 '버그 바운티'가 활성화돼 있다.
마이크로소프트는 4월 버그바운티 프로그램 보상금을 1만5000달러에서 2만 달러로 올리는 등 적극적으로 활용하고 있다. 7월엔 자사 '다이나믹스365' 서비스의 보안 취약점을 발견하는 사람에게 최고 2만 달러(약 2400만원) 보상금을 내걸기도 했다.