민간 전문가 참여로 정보보호 수준 높였다, 핵 더 키사 성료

이상우 lswoo@itdonga.com

[IT동아 이상우 기자] 한국인터넷진흥원(이하 KISA)가 실제 운영 중인 홈페이지에서 공개적으로 취약점을 찾는 '핵 더 키사(Hack the KISA)' 대회 포상 시상식을 진행했다.

핵 더 키사는 진흥원이 운영 중인 보안 취약점 신고포상제의 일환으로 진행한 행사로, 소프트웨어와 달리 상대적으로 미비한 인터넷 서비스(웹 페이지 등) 취약점 발견 및 신고를 활성화하기 위한 방안으로 마련됐다. 기존의 신고포상제는 소프트웨어 중심으로 운영해온 만큼, 웹 서비스 취약점에 대해서는 미비했다. 최근 뽐뿌, 여기어때 등 웹 페이지를 통한 악성코드 유포나 개인정보 탈취 등의 사고가 빈번히 일어나고 있지만, 현재 정보통신망법 48조에 따라 화이트해커가 웹 서비스 취약점을 찾기 위해 접근하는 것은 불법으로 간주될 수 있다.

하지만, 이미 해외의 경우 버그바운티 등의 행사를 통해 내부에서 발견하지 못한 보안 문제를 외부의 화이트해커를 경진대회 방식으로 참가하도록 해 보안을 강화하고 있다. 특히 핵 더 키사의 모델이 된 핵 더 펜타곤은 미국 국방부가 자신의 홈페이지를 개방해 민간 화이트 해커가 취약점을 발견하고, 이를 통해 상대적으로 적은 비용으로 보안 문제를 해결하고 미래에 발생할 사고에 대비하고 있다.

KISA 침해사고분석단 이동근 단장은 "핵 더 키사는 국내 공공기관 최초로 시행한 개방형 서비스 보안 취약점 찾기 대회다. 현재 정보통신망법 48조에 따라 화이트해커가 웹 서비스에 접근하기 어려운 상황이며, 이 때문에 웹 서비스 제공자가 자발적으로 참여해 이에 대한 취약점 신고 포상제를 운영할 수 있는 방안이 필요하다. 핵 더 키사는 이러한 문화를 조성하기 위한 행사로, 사전 접수 받은 참가자가 특정 기간에 사전에 정해진 몇 개의 웹 페이지에만 접근할 수 있도록 제한하는 등 법에 저촉되지 않고 사고를 예방할 수 있게 진행했다"고 설명했다.

KISA 침해사고분석단 이동근 단장
KISA 침해사고분석단 이동근 단장

11월 15일부터 28일까지 열린 이번 대회에는 485명의 민간 보안 전문가가 참여했으며, 참여자 59명이 총 163건의 취약점을 발견하고 신고했다. KISA는 이 중 60건을 선정하고 28명에게 총 상금 2,555만 원을 포상했다. 대회 시작 26분만에 최초 신고가 접수되는 등 참여자 사이의 치열한 취약점 발굴 경쟁이 있었으며, 이 중 난이도나 파급도에 따라 상위 4명에 대해 시상을 진행했다.

이번 대회의 가장 큰 성과는 일상 점검에서 발견하지 못한 취약점을 다양한 민간 전문가와 함께 여러 시각에서 바라본 만큼, 평소 간과했던 점들을 찾을 수 있었다는 점이다. 특히 국내 정보보호 관련 최고 권위기관인 KISA 역시 이번 행사를 통해 내부 보안 현황을 재점검하고 내실을 다질 수 있는 계기가 됐다는 설명이다. 향후에는 민간 협력 기반 서비스 취약점 발굴 모델을 만들고 확산해, 신고포상제 공동 운영사와 함께 이러한 행사에 참여를 유도할 계획도 밝혔다.

KISA는 이와 함께 2018년도 신규 보안 취약점 신고포상제 운영 성과도 발표했다. 총 1,108건을 신고 받았고, 이중 총 581건에 대해 올해 한해 포상했다. 특히, 올해 신고 건수는 총 1,108건으로 전년 대비 36.7%, 포상건수는 41.3% 증가하는 등 매년 증가하는 추세다. KISA는 올해까지 총 15개 민간 업체를 취약점 신고 포상제 공동 운영사로 맞이해 민간 기업의 자발적 취약점 조치/관리를 유도하고 협력을 확대하고 있다. 네이버의 경우 단순한 소프트웨어 취약점뿐만 아니라 자사의 웹 서비스 취약점에 대해서도 포상을 진행한다.

KISA 김석환 원장 및 핵 더 키사, 보안 취약점 신고포상제 우수
수상자
KISA 김석환 원장 및 핵 더 키사, 보안 취약점 신고포상제 우수 수상자

KISA 김석환 원장은 "작년 이맘때 쯤 핵 더 키사를 처음 얘기했다. 행사를 준비하면서 내외로 많은 우려와 반발이 있었고, 모험은 임기 마지막에 해보라는 얘기도 들었다. 그럼에도 불구하고 이를 추진한 결과 큰 성과를 얻었다. 가장 먼저 정보보호 수준을 평가하는 기관으로서 우리의 수준에 대한 객관적인 평가가 필요했으며, 국내에서도 사이버 공격에 대한 '수비수'뿐만 아니라 '공격수'를 육성해야 할 필요가 있다고 느꼈다"고 말했다.

또, "현재 소프트웨어에 집중된 취약점 신고를 웹 서비스 영역으로 확대해 국민이 체감할 수 있도록 질을 높이는 것은 물론, 해외로 이러한 사례를 수출하는 등 생태계를 키워갔으면 하는 바람이다. 내년에는 KISA뿐만 아니라 민간 기업이 이러한 행사를 개최하도록 유도할 계획이다"고 말했다.

글 / IT동아 이상우(sw@itdonga.com)

IT동아의 모든 콘텐츠(기사)는 Creative commons 저작자표시-비영리-변경금지 라이선스에 따라 이용할 수 있습니다.
의견은 IT동아(게임동아) 페이스북에서 덧글 또는 메신저로 남겨주세요.