Home > 전체기사
한국형 버그 바운티, 보안취약점 신고 포상제의 모든 것
  |  입력 : 2014-10-07 10:47
페이스북 보내기 트위터 보내기 네이버 밴드 보내기 카카오 스토리 보내기
“침해사고 대응과 예방 차원에서 큰 효과 거둬”

KISA 취약점분석팀 박진완 팀장에게 듣는 신고 포상제 A to Z  


[보안뉴스 김지언] “침해사고의 사전예방이 가능하다면 침해사고 대응시간과 노력을 상당히 줄일 수 있어요. 이러한 침해사고의 사전예방 차원에서 S/W  신규 보안 취약점 신고 포상제를 운영하게 됐죠.” 한국인터넷진흥원(KISA) 취약점분석팀 박진완 팀장은 S/W 신규 보안 취약점 신고 포상제가 침해사고 사전 예방에 상당히 기여하고 있다고 밝혔다.


2012년 10월부터 한국인터넷진흥원이 운영하는 신고 포상제는 페이스북, 구글, 마이크로소프트 등 글로벌 기업에서 실시하는 버그 바운티를 모티브로 한 제도다. 버그바운티는 기업 등이 자사 서비스나 제품의 보안성 강화를 위해 취약점을 찾아 신고해준 사람에게 포상금을 지급하는 프로그램이다.


이에 본지는 한국인터넷진흥원이 운영하는 신고 포상제를 좀 더 자세히 알아보기 위해 박진완 팀장과 인터뷰를 진행했다.


S/W 신규 보안 취약점 신고 포상제 도입이유와 특징 버그바운티 제도를 운영하고 있는 큰 기업에서도 자사 제품에 한해서만 운영하는 경우가 대부분이다. 버그 바운티는 우리나라에서는 거의 찾아보기 힘들 뿐만 아니라 취약점 분석가들이 소프트웨어 취약점을 찾아내 알려주면 문제를 고치기보다는 취약점을 찾아낸 것에 관해 거부감을 갖는 경향이 있다. 한국인터넷진흥원에서 침해대응 업무를 하다보니 알려지지 않은 침해사고의 경우 분석에 시간이 걸리고 원인을 찾기가 매우 어렵다. 정부차원에서 제도를 운영함으로써 침해사고 사전 예방과 더불어 취약점 분석가를 발굴하고 이들을 음지가 아닌 양지로 이끌어 내는 효과가 있다.


국내 침해사고 유형을 보면 한국만의 독특한 특징들이 많다. 국내에서만 주로 사용하는 문서편집 프로그램을 통해 악성코드가 유포되는 것이 하나의 예다. 해외에서는 관심이 적지만 국내 특성에 따른 취약점들을 입수해 사전에 조치토록 하고 더 이상 악용되지 않도록 함으로써 침해사고 사전예방에 상당한 효과가 있다.


신고 포상제 운영방식 S/W 신규 보안 취약점은 인터넷침해대응센터 취약점신고 홈페이지(http://www.krcert.or.kr/kor/consult/consult_04.jsp)를 통해 접수받고 있다. 소프트웨어 신규 보안 취약점을 발견해 신고를 하면 KISA 취약점분석팀에서 악성코드 유포가 가능한지 등을 검증한 후 해당 소프트웨어 개발사에게 취약점 보고서를 보낸다. 이후 해당 소프트웨어 개발사가 패치를 개발해 배포하는 형식으로 운영된다.


취약점을 신고 받고 분석하는 과정은 일년 내내 이뤄지나 포상은 3월, 6월, 9월, 12월로 나눠 각 분기별로 이뤄진다. KISA는 분기마다 교수, 외부전문가 등으로 구성된 평가위원에게 신고 접수된 모든 취약점의 1차 평가 내용을 브리핑한다.


각 취약점마다 출현도, 영향도, 공격의 효과성, 발굴수준 등에 대한 평가위원들의 의견을 수렴한 뒤 그들의 의견을 점수화한다. 접수된 소프트웨어 보안 취약점이 신규 취약점으로 인정된 경우 최소 30만원부터 최대 500만원까지 포상금이 지급된다.


취약점 분석가들이 취약점 신고 시에 유의해야 할 사항도 있다. 평가에 필요한 정보가 누락될 수 있으므로 반드시 한국인터넷침해대응센터 취약점신고 페이지에서 신고양식을 다운받아 작성한 뒤 홈페이지에 업로드해야 한다. 또한 홈페이지 취약점 등 현재 운영중인 서비스나 시스템에 공격을 시도할 경우 타사의 시스템을 침해하는 행위이기에 포상에서 제외된다.


기준에 부합하지 않는 신고 건수에 대해서는 제보 받은 내용에서 개인정보만 삭제한 후 해당 기업에 패치를 요청하며, 제보자에게도 기준에 부합하지 않아 평가대상에서 제외된다는 안내 메일이 발송된다.


신고 포상제도 운영상 어려운 점 갑자기 취약점 신고 건수가 급증했을 경우에는 분석인원 부족으로 물리적 한계를 느낄 때도 있다.


또 포상제는 정부 예산으로 운영되기 때문에 포상금 지급 최대치에도 한계가 있다. 비슷한 수준의 취약점을 제보하더라도 처음 신고 받은 취약점이 이후 신고 받은 취약점 보다 더 많은 포상금이 지급될 수 있다는 점도 한가지 예다.


이외에도 제보자가 신고한 취약점의 영향도나 출현도에 비해 적은 포상액이 지급됐다며 불만을 토로하는 경우가 발생한다. 제보자 입장에서는 포상액이 기대에 못 미칠 수도 있으나 취약점의 영향도는 시기에 따라 변경되는 것이기에 이 부분을 이해해줬으면 좋겠다.


신고 포상제 운영효과 S/W 신규 보안 취약점 신고 포상제 실시 이전에도 인터넷침해대응센터를 통해 2006년부터 소프트웨어 신규 보안 취약점 신고 제도를 실시해 왔다. 그러나 포상제 운영 이전에는 1년 신고 건수가 30건에서 40건 정도로 미비했을 뿐만 아니라 유효한 취약점도 많지 않았다.


그러나 포상제를 실시하면서 신고 건수가 급격히 증가했다. 매달 약 15건 정도의 신고가 들어오고 있으며, 포상제 실시 이후 2014년 2사분기까지 접수된 건수만 299건이다. 이전에 비해 5배 이상 증가한 수치다.


이중 실제로 포상된 취약점도 162건으로 상당히 많다. 포상 건수는 100% 신규취약점이기에 사고를 사전 예방했다는 측면에서 수치화 할 수 없을 만큼 상당한 효과가 있었다고 생각한다.


신고 접수 건수 증가 외에도 또 다른 변화가 생겼다. 국내 기업들의 인식이 조금씩 변하고 있다는 점이다. 일부 기업은 취약점 제보자들에게 감사의 뜻으로 기념품을 제공하기도 했으며, 또 다른 기업은 제보자를 불러 해당 취약점에 대한 세미나를 열어주기도 했다.


특히, 최근 들어서는 기업 대표들이 보안을 위해 적극 나서는 양상도 보이고 있다. 국내에서 많이 사용되는 PMS 솔루션에서 취약점이 발견됐는데 취약점 패치 후 기업 대표가 직접 찾아와 감사를 표한 일도 있었다.


또한 국내에서 주로 사용되는 문서편집 프로그램 개발사인 H 사의 경우도 올해 2분기부터 보안성을 강화하겠다는 차원에서 S/W 신규 보안 취약점 신고 포상제에 참여하고 있다. H사 제품의 취약점인 경우 포상액이 정해지면 KISA를 대신해 제보자에게 H사가 직접 포상금을 지급하는 형태로 진행된다.


버그 바운티 국내 도입의 한계 국내에는 거대 소프트웨어 개발사가 많지 않기 때문에 기업들이 자발적으로 이러한 제도를 운영하기에는 현실적으로 어려움이 있다. 예를 들어 A사의 소프트웨어 취약점을 B군이 찾았다고 가정해보자. B군은 찾은 취약점이 상당히 위험한 수준이라며 A사에 1억을 요구한다. 그러나 이 소프트웨어를 통한 수입이 1억 2천 정도라면 기업 입장에서는 배보다 배꼽이 더 큰 셈이 된다. 국내 기업의 경우 취약점에 대한 적정 포상액이 얼마인지도 모를 뿐만 아니라 포상금을 한번 주기 시작하면 계속 요구하기 때문에 버그 바운티 운영에 난색을 표하는 것 같다.


침해사고 사전 대응 위해 노력해야할 점 기업들은 취약점이 발생하지 않도록 보안코딩을 적용하는 등 전체 개발단계에서 보안을 고려하는 것이 중요하다. 또 발견된 취약점에 대해 신속히 조치하는 것도 필요하지만 정기적으로 자사의 소프트웨어에 취약점이 있는지 점검하고 보안조치가 제대로 했는지 확인하는 과정도 필요하다고 본다.


MS에서는 1달에 한번씩 정기적으로 보안 업데이트를 진행한다. 취약점 패치로 보안사고를 100% 막을 수 없지만 피해 예방적 측면에서 정기적인 보안 패치가 이루어진다면 매우 바람직한 일이다. 더불어 취약점 분석가에게 취약점을 제보 받으면 감사함을 갖는 인식 전환도 이루어졌으면 좋겠다.

 

일반 이용자 측면에서도 예방차원의 대응이 필요하다. 우리집 자물쇠가 약해 도둑에게 피해를 당했으면 다음엔 같은 피해를 입지 않도록 더 강한 자물쇠로 교체해야 한다. 따라서 일반 이용자도 백신을 설치해 주기적으로  업데이트 및 검사하고 취약한 소프트웨어는 즉시 업데이트하는 습관이 필요하다.

정부 차원에서는 먼저 S/W 신규 보안 취약점 신고 포상제에 할당된 예산을 확대할 수 있도록 노력하고, 포상제 운영에 동참하는 기업을 확대하는 것도 필요할 것으로 보인다. 또 국내 기업들이 자발적으로 버그바운티 제도를 운영할 수 있도록 유도하는 방안이 마련됐으면 한다.


신고 포상제도가 앞으로 나아갈 방향 사실 S/W 신규 보안 취약점 신고 포상제의 궁극적인 목적 중 하나는 기업들의 자발적인 취약점 신고제 운영 확대에 있다. 현재 국내에는 거대 소프트웨어 개발사가 많지 않기에 과도기적 성격으로 정부가 이러한 제도를 운영해 이끌어 나가고 있는 것이다. 현재는 H사 한곳이 포상제 운영에 참여하고 있지만 동참할 수 있는 기업들을 차츰 늘려가며 기업들이 이와 유사한 제도를 자체 운영할 수 있도록 분위기를 형성해가는 역할을 해나갈 예정이다.


사실상 소프트웨어 취약점 등을 통해 발생하는 침해사고는 완벽한 차단이 불가능하다. 또 현실적으로 국내 기업들이 자체적으로 버그바운티 제도를 도입해 외부에서 취약점을 제공받고 취약점을 패치하는데도 어려움이 따른다. 그러나 기업들 역시도 자체적으로 소프트웨어 등을 주기적으로 점검하고, KISA가 시행하는 신고 포상제 참여 등을 통해 침해사고 예방에 노력한다면 피해를 최소화 할 수 있지 않을까 싶다. 

[김지언 기자(boan4@boannews.com)]


<저작권자: 보안뉴스(http://www.boannews.com/) 무단전재-재배포금지>

  •  
  • 1
  • 페이스북 보내기 트위터 보내기 네이버 밴드 보내기 카카오 스토리 보내기


  •  SNS에서도 보안뉴스를 받아보세요!! 
IBM 파워비즈 배너 2019년2월8일~2020년2월7일까지/7월25일 수정위즈디엔에스 2018파워비즈배너 시작 11월6일 20181105-20200131
설문조사
지난 10월 정보보호정책관을 정보네트워크정책관으로 변경하는 과학기술정보통신부의 조직 개편 움직임이 논란이 된 바 있습니다. 과기정통부에서 정보보호 업무를 총괄하는 조직 위상에 대한 견해는?
과기정통부에서 분리해 별도의 정부부처가 전담해야
과기정통부 내 정보보호정책실(실장급)로 격상시켜야
지금처럼 정보보호정책관(국장급) 조직을 유지해야
네트워크 업무를 통합시키되, 정보보호네트워크정책관(국장급)으로 명명해야
과기정통부의 초안처럼 정보네트워크정책관(국장급)으로 해야
기타(댓글로)
      

이스온
원격감시 / 안전관리

인콘
통합관제 / 소방방재

현대틸스
팬틸트 / 카메라

파나소닉코리아
Sevurity Camera / CCTV

시큐인포
CCTV / NVR

한화테크윈
CCTV 카메라 / 영상감시

AVIGILON
영상 보안 / 출입 통제

대명코퍼레이션
DVR / IP카메라

티제이원
영상 보안 / 출입 통제

하이크비전 코리아
CCTV / IP / NVR

원우이엔지
줌카메라

비전정보통신
IP카메라 / VMS / 폴

다후아 코리아
CCTV / DVR

씨앤비텍
통합보안솔루션

지케이테코
출입통제 / 얼굴인식

아이디스
DVR / IP / VMS

한국하니웰
CCTV / DVR

이화트론
DVR / IP / CCTV

피엔에이
CCTV / IP 카메라 모듈

테크스피어
손혈관 / 차량하부 검색기

쿠도커뮤니케이션
스마트 관제 솔루션

슈프리마
출입통제 / 얼굴인식

아이티엑스엠투엠
DVR / NVR / IP CAMERA

씨엠아이텍
근태관리 소프트웨어 / 홍채 스케너

링크플로우
이동형 CCTV 솔루션

한국씨텍
PTZ CCTV

엔토스정보통신
DVR / NVR / CCTV

경인씨엔에스
CCTV / 자동복구장치

트루엔
IP 카메라

씨오피코리아
CCTV 영상 전송장비

CCTV협동조합
CCTV

디비시스
CCTV토탈솔루션

도마카바코리아
시큐리티 게이트

다민정보산업
기업형 스토리지

테크어헤드
얼굴인식 소프트웨어

에스카
CCTV / 영상개선

브이유텍
플랫폼 기반 통합 NVR

윈스
지능형 차세대 방화벽

포티넷
네트워크 보안

화이트박스로보틱스
CCTV / 카메라

신우테크
팬틸드 / 하우징

네이즈
VMS

케이제이테크
지문 / 얼굴 출입 통제기

혜인에스앤에스
통합보안시스템

셀링스시스템
IP 카메라 / 비디오 서버

사라다
지능형 객체 인식 시스템

수퍼락
출입통제 시스템

구네보코리아
보안게이트

일산정밀
CCTV / 부품 / 윈도우

아이엔아이
울타리 침입 감지 시스템

이노뎁
VMS

새눈
CCTV 상태관리 솔루션

케이티앤씨
CCTV / 모듈 / 도어락

파이브지티
얼굴인식 시스템

이스트컨트롤
통합 출입 통제 솔루션

아이유플러스
레이더 / 카메라

지와이네트웍스
CCTV 영상분석

두레옵트로닉스
카메라 렌즈

지에스티엔지니어링
게이트 / 스피드게이트

이후커뮤니케이션
전송장치/CCTV

창우
폴대

넷플로우
IP인터폰 / 방송시스템

대산시큐리티
CCTV 폴 / 함체 / 랙

엘림광통신
광전송링크

티에스아이솔루션
출입 통제 솔루션

에프에스네트웍스
스피드 돔 카메라

엔클라우드
VMS / 스위치

DK솔루션
메트릭스 / 망전송시스템

싸이닉스
스피드 돔 카메라

다원테크
CCTV / POLE / 브라켓

유진시스템코리아
팬틸트 / 하우징

포커스에이치앤에스
지능형 / 카메라

휴컴스
PTZ 카메라 / 줌카메라

카티스
출입통제 / 외곽경비

세환엠에스
시큐리티 게이트