KISA 해킹할 화이트 해커를 모집합니다

[IT동아 이상우 기자] 한국인터넷진흥원(이하 KISA)이 소프트웨어 취약점 신고포상제 운영을 확대하고, 상대적으로 관심이 적은 웹 서비스 취약점에 대한 인식을 높이기 위해 올해 하반기에는 '핵 더 키사(Hack the KISA)' 이벤트를 시행한다고 밝혔다.

취약점 신고포상제란 이름 그대로 소프트웨어나 서비스의 보안 취약점을 발견해 신고한 사람에게 포상금을 지급하는 제도다. 해외에서는 버그 바운티(Bug Bounty)라는 이름으로 MS, 구글 등 글로벌 소프트웨어 개발사가 이러한 제도를 운영 중이다. 포상제의 장점은 우선 신고자(화이트 해커)는 개인의 역량이나 보안 분야의 인지도 상승, 포상금을 통한 를 높일 수 있다. 기업의 경우 내부에서는 발견하지 못했던 보안 취약점을 외부 전문가를 통해 찾아낼 수 있으며, 이를 통해 위협 대응은 물론 소프트웨어 보안 관련 투자 비용도 줄일 수 있는 효과가 있다. 이러한 버그 바운티는 기업이 자체적으로 운영할 수 있지만, 자체 운영이 어렵다면 이를 대행해주는 플랫폼을 이용하는 방법도 있다.

국내의 경우 2006년부터 취약점 신고제를 운영해왔으나, 당시에는 포상금이 없었던 만큼 화이트 해커의 적극적인 참여를 끌어내는 데 무리가 있었다. 때문에 2012년부터 포상금 제도를 도입했으며, 이와 함께 국내 기업의 참여를 유도해 현재는 한글과컴퓨터, 네이버, 카카오, LG전자 등 14개 기업과 함께 신고포상제를 공동 운영하고 있으며, 삼성전자의 경우 버그 바운티 프로그램을 자체적으로 운영 중이다.

KISA에 따르면 신고포상제 운영 이후, 포상 건 수가 매년 증가하고 있으며, 특히 기업의 참여를 통해 KISA 자체에서 지급하는 포상금 규모가 지속적으로 줄고 있는 추세다. 해당 기업의 소프트웨어 보안 취약점에 관한 문제는 기업에서 직접 포상금을 지급하기 때문이다. 최근 동향을 살펴보면 공유기나 IP카메라 등 사물인터넷과 관련한 기기의 취약점 신고가 늘고 있으며, KISA 역시 이에 따라 집중 신고기간을 운영하는 등 화이트 해커가 특정 분야에 집중할 수 있도록 노력하고 있다. 이와 함께 포상금 지급 규모를 최대 1,000만 원으로 확대하는 등 참여를 유도하고 있다.

한국인터넷진흥원을 해킹하라

이러한 소프트웨어 취약점 신고는 꾸준히 증가하고 있으며, 이를 통해 기업 역시 미비한 보안을 강화할 수 있다. 반면, 홈페이지 등 웹 서비스에 관한 취약점 신고는 여전히 더디다.

현재 정보통신망법 48조에 따르면 '누구든 정당한 접근권한 없이 또는 혀용된 접근권한을 넘어 정보통신망에 침입하여서는 아니 된다'고 명시돼 있다. 즉 화이트 해커가 홈페이지의 취약점을 찾기 위해 여러 방법을 이용해 접근을 시도하는 것은 좋은 의도겠지만, 불법으로 간주될 수 있다는 의미다. 하지만, 정보통신망법을 개정할 경우 악의를 가진 해커에게 또 다른 문을 열어주는 결과를 초래할 수도 있다.

이 때문에 웹 서비스 제공자가 자발적으로 참여해 이에 대한 취약점 신고 포상제를 운영할 수 있는 방안이 필요하다. KISA가 제안하는 해킹 경진대회, 이른바 핵 더 키사가 바로 그 것이다. 핵 더 키사는 쉽게 말해 특정 기간을 정하고 이 기간에 화이트 해커가 한국인터넷진흥원 홈페이지를 공격해 취약점을 찾아내면 상금을 주는 이벤트다.

미국 국방부의 경우 실제로 핵 더 펜타곤이라는 이벤트를 진행하며 운영 중인 웹 사이트에 대한 취약점을 발견하고 있다. 세상에서 가장 튼튼할 것이라 여겨왔던 미국 국방부 웹 사이트가 이벤트 시작 후 13분 만에 취약점이 발견되기도 했으며, 해당 기간 중 1,189개의 취약점 신고가 발생했다. 미국 국방부는 이 중 138개의 취약점을 선정해 포상금을 지급하기도 했다. 이는 '자신 있으면 우리를 뚫어봐라'는 과시용 행사로 보일 수도 있지만, 국방부는 이 행사를 통해 미처 몰랐던 취약점을 발견하였으며, 적은 비용으로 취약점에 대한 수정을 완료할 수 있었다.

KISA가 기획하고 있는 핵 더 키사 역시 같은 맥락에서 진행하는 행사다. 이를 직접 시행하며 여러 웹 서비스 기업에게 시범을 보이고, 좋은 결과를 얻을 수 있음을 알리는 것이 목표다. 한편으로는 법적인 문제를 피하고, 화이트 해커가 의도하든 하지 않았든 민감한 정보에는 접근할 수 없도록 할 수 있는 방안도 마련하는 등 KISA가 직접 경험하며 이를 기업에 공유할 계획이다.

KISA 관계자는 "이러한 행사는 보안을 과시하기 위함이 아니라 화이트 해커에게 도움을 청하고 상호 협력할 수 있는 모델이다. 우리가 직접 핵 더 키사를 진행하면서 기업이 겪을 문제를 미리 확인해보고, 보완책을 마련해 오는 4분기 본격적으로 추진할 계획이다"고 말했다.

글 / IT동아 이상우(sw@itdonga.com)