보안 취약점 신고 포상제도 '버그바운티' 프로그램 일환
KISA(한국인터넷진흥원)가 상금을 내걸고 해킹 대회인 '핵 더 키사'(Hack the KISA)를 추진한다. KISA와 관련 기관의 보안 취약점을 발견하면 1000만 원을 상금을 차지할 수 있다. KISA는 이를 통해 보안에 대한 관심을 높이고 자체 보안 수준을 강화한다는 방침이다.
이동근 KISA 침해사고분석단장은 지난달 31일 "버그바운티 프로그램은 기업이나 기관의 보안 수준을 업그레이드 할 수 있는 좋은 기회"라며 "KISA가 앞장서 KISA 해킹 대회인 '핵 더 키사'를 오는 4분기 진행한다"고 말했다.
'핵 더 키사'는 KISA가 운영 중인 '버그바운티' 프로그램의 일환이다. 버그바운티는 '보안 취약점 신고 포상제도'로 미국의 구글, 마이크로소프트 등의 기업이 보안 수준을 높이기 위해 사용하고 있다. 화이트해커가 취약점을 찾아내면 취약점 수준에 따라 일정한 보상을 해주는 방식으로 운영한다.
글로벌 기업들은 버그바운티 프로그램을 활발하게 운영하고 있다. 실제로 세계 최대 인터넷 서비스 기업인 구글은 모바일 OS(운영체제) 안드로이드의 취약점을 버그바운티로 찾아냈다.
미국의 국방부인 펜타곤은 특정 기간을 정해놓고 펜타곤 해킹대회인 '핵 더 펜타곤'(Hack the Pentagon)을 진행해 보안 수준을 점검한다. 최고 보안 수준을 갖춘 미 국방부지만 해당 행사 시작 후 13분 만에 최초 취약점이 발견된 바 있다.
'핵 더 키사'는 '핵 더 펜타곤의 한국판'이다. KISA는 버그바운티 프로그램의 중요성과 이점을 알리기 위해 이번 행사를 준비했다.
KISA는 수년 전부터 정부를 비롯해 네이버, 카카오 등과 함께 버그바운티 프로그램을 운영하고 있다. 국내 소프트웨어 기업인 한글과컴퓨터 역시 올해 상반기 신규 출시한 제품의 취약점을 버그바운티로 잡아낸 바 있다.
이 단장은 "버그바운티 프로그램은 보안을 과시하기 위한 행사가 아니라 화이트해커에게 도움을 청하고 함께 협력해나가는 프로그램"이라며 "'핵 더 키사' 행사가 많은 기업들이 버그바운티 프로그램에 관심을 갖는 계기가 됐으면 한다"고 말했다.