구글·애플 장려하는 '버그바운티'… 韓 기업은 '쉿'

보안 취약점 신고 건수 매년 증가 추세
현재 버그바운티 운영중인 기업 네이버, 한컴 두 곳 뿐
취약점 노출 꺼리는 문화가 원인

[아시아경제 한진주 기자] 국내 ICT 기업들이 '보안 취약점 신고 포상제'(버그바운티)' 도입에 소극적인 태도로 일관하고 있다.

관이 주도하는 버그바운티 제도는 한계가 있기 때문에 기업들이 자발적으로 버그바운티 도입을 확대해야 한다는 목소리도 높다.

25일 인터넷진흥원에 따르면 올해 11월말까지 보안 취약점 신고 포상제를 통해 접수된 취약점은 총 321건이다. 진흥원이 2012년 10월 신고 포상제를 도입한 이후 신고건수가 ▲2013년 179건 ▲2014년 274건으로 꾸준히 늘었다.

보안 취약점 신고 포상제(버그바운티)는 소프트웨어나 하드웨어 제품의 보안영역에서 기술상 취약점을 발견해 제보할 경우, 적절한 보상을 제공하는 제도를 말한다.

현재 국내에서 '보안 취약점 신고 포상제'를 도입한 ICT 기업은 네이버와 한글과컴퓨터 뿐이다. 국내 기업들은 화이트해커를 채용해 취약점을 찾는 경우는 있지만 공개적으로 운영하는 곳은 드물다.

반면 구글이나 애플은 취약점을 신고하면 보상을 지급하고, 명예의 전당에 신고자의 이름을 올려주기도 한다.

국내 기업들이 버그바운티 도입에 소극적인 이유는 취약점을 드러내는 꺼리는 문화, 예산 마련에 대한 부담을 꼽을 수 있다.

화이트해커가 특정 기업에 보안 취약점을 찾아서 알려주면 포상을 지급하기보다 면박을 주는 경우도 다반사다. 일부 기업은 취약점을 알려준 화이트해커를 공격자로 간주하기도 한다.

전길수 인터넷진흥원 사이버침해대응본부장은 "국내 기업들은 취약점을 감추려는 분위기가 조성돼있어서 국가가 주도해서 버그바운티 대책을 만들었다"며 "정부가 계속 끌고 나가기보다는, 판을 만들고 기업을 참여시키는데 중점을 두고 있다"고 설명했다.

이에 인터넷진흥원은 내년부터 SW 기업들을 대상으로 버그바운티 제도 도입을 적극 장려한다는 계획이다.

인터넷진흥원 관계자는 "신고센터를 통해 취약점 접수가 많았던 기업이나 소프트웨어 분야별로 손꼽히는 기업들을 대상으로 버그바운티 도입을 확대해 나갈 것"이라고 말했다.

보안 업계 관계자는 "국내 화이트해커들이 취약점 발견 신고센터를 통해 취약점을 신고하고, 국내 기업들도 버그바운티 도입을 시도하고 있지만 해외에 비하면 보상 수준이 여전히 낮다"며 "보안 담당자들이 버그바운티 제도로 인해 자신의 미숙함을 드러낸다고 생각해 꺼리는 경우가 많은데 인식 개선이 필요하다"고 설명했다.