실시간 뉴스



[김국배]버그바운티는 SW에 '약'


얼마 전 라인이 버그바운티 제도를 운영하기 시작했다. 버그바운티는 소프트웨어(SW)의 취약점을 찾은 사람에게 포상을 하는 제도다. 내부 인력에만 의존하지 않고 외부 전문가를 통해 제품이나 서비스의 취약점을 빠르게 찾고 대처하는 것이다.

라인은 지난해 라인메신저에서 SW 취약점을 찾는 버그바운티를 한 달 정도 진행한 적이 있는데 앞으론 상시적으로 운영하게 됐다.

버그바운티는 국내에서는 아직도 생소하게 들릴 수 있지만 해외에서는 꽤 널리 활용된다. 구글, 마이크로소프트(MS), 페이스북 등 쟁쟁한 기업들이 이 제도를 잘 운영하고 있다. 심지어 올 4월엔 미국 국방부가 역사상 최초로 버그바운티 프로그램 '핵 더 펜타곤(Hack the Pentagon)'을 시작했다. 사이버 보안업체인 카스퍼스키랩도 버그바운티를 운영하기로 했다고 한다.

이들 기업이 SW의 취약점을 찾아낸 사람에게 거액의 상금을 주는 건 왜일까. 당연하지만 그만큼 기업에 도움이 되는 일이라고 판단하기 때문일 것이다.

모든 SW는 완벽하지 않다. 해커는 이런 SW의 약점을 찾아내 공격한다. 만약 해킹을 당하게 되면 그 피해는 고스란히 기업에 돌아온다. 그 전에 먼저 취약점을 찾고 보완할 수 있다면 그 이득은 상금에 비할 바가 못된다.

하지만 아직까지 국내에서는 버그바운티에 대한 인식이 낮다. 선의로 취약점을 찾고 제보해도 '왜 남의 회사의 SW를 멋대로 뜯어보느냐'는 예민하고 불쾌한 반응을 보이기 일쑤다. 버그바운티를 운영한다는 기업도 좀처럼 찾아보기 힘들다.

국내에서는 한국인터넷진흥원(KISA)이 버그바운티 프로그램을 운영하고 네이버, 한글과컴퓨터, 카카오 등이 여기에 참여한다. 국내 기업 중 버그바운티를 자체적으로 운영하는 기업은 삼성전자 정도만으로 알려져 있다.

현재 많은 해킹 공격이 SW의 취약점에서 시작되고 있다. 'SW가 세상을 먹어치운다'는 말처럼 SW 활용영역이 넓어지면서 피해를 입을 수 있는 범위도 커질 것이다. 자동차 SW 해킹은 목숨과 직결되는 문제다.

최근엔 강효상 새누리당 의원이 버그바운티를 제도화하는 '정보통신망 이용촉진 및 정보보호 등에 관한 법 일부 개정안'을 발의하기도 했다.

법도 효과를 발휘할 수 있겠지만 더 많은 기업들이 자발적으로 버그바운티에 동참하기를 기대해본다. 버그바운티는 기업에도 SW 품질을 높이는 가장 확실한 방법 중 하나다.

김국배기자 vermeer@inews24.com






alert

댓글 쓰기 제목 [김국배]버그바운티는 SW에 '약'

댓글-

첫 번째 댓글을 작성해 보세요.

로딩중
포토뉴스