“해킹 피해 줄이는 버그바운티 제도… 보안 강화 위해 적극 도입을”

전문가 토론회
자체점검보다 예방 효과 뛰어나
제도적 인센티브, 처벌 감면 등
활성화 위한 지원 뒷받침돼야

15일 서울 서초구 더케이호텔서울에서 열린 ‘WACON 2022’ 보안성 강화 토론회에 참석한 임채운 서강대 교수, 신대규 한국인터넷진흥원 사이버침해대응본부장, 박세준 티오리 대표, 김건우 안랩 시큐리티대응센터장, 전승재 토스뱅크 법률팀 변호사, 김승현 해치랩스 정보보안담당, 김지환 KAIST 대학원생, 정준영 안양대 학생(왼쪽부터). WACON 운영사무국 제공

모의 해킹대회 ‘WACON 2022’와 함께 ‘보안성 강화! 버그바운티 제도에서 해법을 찾다’라는 주제로 토론회가 열렸다. 이 토론회를 통해 버그바운티(bugbounty·보안 취약점 신고 포상제) 도입의 필요성과 문제점 및 해결 방안에 대해 분야별 전문가들과 함께 논의해 봤다.

발제를 맡은 신대규 한국인터넷진흥원(KISA) 사이버침해대응본부장은 보안 취약점을 악용한 해킹으로 막대한 재산적 손실이 발생한 사례를 들며 피해를 최소화하기 위한 방안으로 버그바운티 도입을 적극 권장했다. 또 자체 점검과 버그바운티 시행 상황을 비교하며 “버그바운티 프로그램 운영 시 7배 이상의 효과가 있는 만큼 제도 도입을 통한 보안성 강화에 힘써 줄 것”을 당부했다.

패널토론에 참여한 박세준 티오리한국 대표는 “해외 버그바운티 현황과 비교해 차이를 극복하고 국내 버그바운티를 활성화하기 위해서는 제도적 지원, 문화적 변화, 그리고 경제적 투자가 적극 이루어져야 한다”고 말했다. 박 대표는 미국 카네기멜런대 컴퓨터과학 학·석사를 졸업한 최고의 정보보안전문가이다.

두 번째 패널토론자인 전승재 토스뱅크 법률팀 변호사는 “기업의 버그바운티 활용을 독려하려면 제도적 인센티브가 주어져야 하며, 버그바운티를 평소 충실하게 운영하는 상태에서 해킹 사고가 발생했다면 처벌을 감면해 주는 등의 인센티브를 시행해야 한다”고 강조했다.

김건우 안랩 시큐리티대응센터장은 현재 KISA와 공동운영 중인 버그바운티 현황과 취약점을 악용하는 악성코드에 대응한 사례와 버그바운티의 긍정적인 기대효과를 발표했다.

대한민국 최고의 화이트해커인 김승현 해치랩스 정보보안담당은 버그바운티에 직접 참여하고 있는 입장에서 한국의 버그바운티 플랫폼과 해외 버그바운티 플랫폼의 장단점을 비교 분석해 한국의 버그바운티 활성화를 위한 최상의 방안을 제시했다.

KAIST 대학원생인 김지환 씨는 “해외 사례들처럼 한국에서도 해커들이 버그바운티를 하나의 문화로 즐기는 시대가 올 때 기업의 보안성은 강화된다”고 강조했다.

마지막으로 안양대 재학생 정준영 씨는 국내의 버그바운티 플랫폼에 대한 자세한 설명과 함께 보안성 강화를 위해서는 무엇보다 중소·개인 기업의 보안성 향상이 먼저 실행되어야 한다고 주장했다.

태현지 기자 nadi11@donga.com