한 독일 프로그래머가 링크 하나로 계정을 훔칠 수 있는 카카오톡의 취약점을 발견해 제보했으나, 외국인이라 취약점 보상을 받을 수 없었다고 밝히며 카카오 등 기술기업들이 운영하는 '버그바운티' 제도가 누리꾼들에게 주목받고 있다.
화제가 된 제보자는 독일인으로, 지난달 31일 자신의 블로그에 해당 취약점을 발견하고 이를 카카오에 제보한 과정에 대해 공개했다. 공격자가 상대방에게 링크를 보내면 상대방의 카카오 메일 계정을 탈취하고 비밀번호를 재설정할 수 있는 취약점으로, 제보자는 지난해 12월 카카오에 이 취약점을 보고했으나, 한국 국적자만 현상금을 받을 수 있어 결국 아무런 보상도 받지 못했다고 밝혔다. 한편 카카오는 패치를 통해 해당 취약점에 대한 대응을 완료한 상황이다.
카카오톡은 자사 웹과 앱 서비스의 보안 취약점을 사전에 발굴하고 조치하기 위한 버그바운티 프로그램을 운영하고 있다. 이에 따라 보안 전문가, 이용자가 카카오 서비스의 보안 취약점을 발견해 제보하면 위험도와 발굴 난이도 등을 종합적으로 검토해 최소 5만 원에서 최대 1,000만 원의 포상금을 제보자에게 지급한다. 다만 버그바운티 프로그램에 참여할 수 있는 참여자는 국내외 거주하는 한국인으로 한정되어 있다.
누리꾼들 사이에서는 카카오톡이 국내 이용자가 대부분인 플랫폼인 만큼 어쩔 수 없다는 의견도 나오는 한편, 해외에서 카카오톡의 취약점을 발견하더라도 보상을 받을 수 없어 적극적으로 이를 제보하지 않아 결국 취약점이 악용될 수 있다는 우려도 나온다. 또 이제라도 정책을 바꿔 해외의 프로그래머와 전문가 역시 적극적으로 카카오톡의 취약점을 찾아낼 수 있도록 유도해야 한다는 목소리도 나왔다. 카카오와 마찬가지로 한국인터넷진흥원(KISA)이 운영하는 취약점 신고포상제 역시 참가 대상을 국내, 외 거주하는 한국인으로 한정하고 있다.
해외 기업에서는 대부분 버그바운티에 국적 제한을 두고 있지 않으며, 국내의 경우 삼성 모바일이 운영하는 보안 취약성 보고 보상 프로그램이 대한민국 정부의 제재를 받은 국가의 거주자를 제외하면 제보자의 국적을 따로 제한하고 있지 않다.
지난해에도 이와 유사한 사례가 있었다. 광고 차단 프로그램 '애드블록 플러스'의 개발자로 유명한 독일의 사이버 보안 전문가 블라디미르 팔란트는 국내의 금융 보안프로그램들이 각종 취약점을 지녔으며 최신 보안 기술보다 수십 년 뒤처져 있다고 지적했다. 또 이와 관련된 취약점들을 국내 보안프로그램 개발 업체에 지적했으나, 오랜 기간 어떠한 조치도 이루어지지 않았다고 주장하며 화제가 되었다. 일각에서는 해외 보안 전문가의 의견을 묵살하고 발견된 취약점에 적극적으로 대응하지 않은 것 아니냐는 논란을 제기하기도 했다.
다만 국내 업계와 전문가들은 해당 취약점들이 당장 사용 중단 등을 권고해야 할 만큼 큰 문제점은 아니었으며, 포상금 지급이 어려운 수준으로 국내 금융 보안에 관한 문제 제기 정도의 의미만 있었다고 설명했다.
윤리적인 해커에게 취약점을 제보받아 사안에 따라 포상금을 지급하는 버그바운티 제도는 지난 1995년 넷스케이프에 의해 처음 시작되었다. 이후 구글, 마이크로소프트, 삼성전자, 네이버 등 주요 기술기업들이 버그바운티 프로그램을 운영하고 있다.
전 세계의 누구나 취약점 탐색에 참석할 수 있으며, 악의적인 해커가 취약점을 악용하기 전에 윤리적인 해커의 도움으로 선제적으로 이에 대응할 수 있다는 점이 버그바운티 제도의 대표적인 장점이다. 또 자체적인 보안 인력이 부족한 기업이 상대적으로 낮은 비용으로 취약점을 찾아낼 수 있다는 장점도 있다.
국내에서는 네이버, 리디북스, 카카오 등의 기업들이 자체적으로 버그바운티 제도를 도입했으며 한국인터넷진흥원(KISA)은 지난 2012년부터 'S/W 보안취약점 신고포상제'를 운영하며 평가 점수에 따라 포상금을 분기별 건당 최대 1000만원까지 국내외 거주 한국 국적자에게 지급하고 있다.
일부 기업들이 버그바운티 제도를 도입하고 있긴 하지만, 아직 국내에서는 버그바운티에 대한 인식이나 제도적 기반이 미흡한 부분도 있다. 많은 기업이 취약점의 존재를 인정하는 것에 대한 부정적 인식을 지니고 있으며, 오히려 취약점을 제보한 제보자가 취약점에 대해 공개하지 않도록 위협하거나 법적 절차를 밟는 사례도 다수 있다는 지적이다.
김용대 한국과학기술원 과학치안연구센터장은 27일 <이코리아>와의 통화에서 외국인 보상 불가 문제는 국내 버그바운티 제도가 품고 있는 수많은 문제점 중 작은 부분일 뿐이라고 지적했다. 국내에서 운영되고 있는 취약점 신고포상제와 버그바운티 제도는 해외의 제도와 차이점을 보이고 있으며, 2012년부터 시작된 한국인터넷진흥원의 취약점 신고포상제 역시 현 실정에 맞도록 개선해야 할 부분이 있다는 것이다.
다만 버그바운티 제도 자체는 꼭 필요한 제도이며, 더 많은 기업으로 확대되어야 한다고도 말했다. 김 센터장은 “버그바운티 제도가 프라이빗 컨설턴트를 고용하는 것보다 훨씬 효과적이라는 사실은 이미 해외에서 여러 사례를 통해 입증되었다.”라고 설명했다.
또 “대부분의 해킹 사고는 취약점 때문에 생기는 것이다. 국내의 경우 취약점 점검을 할 수 있는 보안 인력도 그렇게 많지 않은 상황이며 중소기업이 취약점 탐색에 투자하기도 힘든 상황이다."라며 "이런 상황에서 국가기관인 KISA에서 버그 바운티제도를 운영하는 것은 감사한 일이지만, 앞으로 기업이 취약점에 대해 적극적으로 조치하고 관련 정보를 활발히 공유하도록 하며 취약점 보고자를 법적인 문제에서 보호하는 등 법과 제도를 실정에 맞게 개선해야 할 필요 역시 있다.”라고 말했다.
현기호 기자
저작권자 이코리아 무단전재 및 재배포 금지
더 많은 기사는 '이코리아'(http://www.ekoreanews.co.kr/)
'ICT' 카테고리의 다른 글
| LG 유플러스의 승부수 ‘All in AI’ ...주요 전략과 차별점은? (0) | 2024.07.02 |
|---|---|
| 이통 3사, '갤럭시 언팩' 앞두고 고객유치 경쟁 치열 (0) | 2024.06.28 |
| AI 연구 개발 속도 높이는 합성데이터, 위험성은? (1) | 2024.06.26 |
| '갤럭시 언팩 2024' AI 탑재 폴더블 기기 혁신 기술 주목 (0) | 2024.06.26 |
| 온라인 플랫폼 기업 비판한 UN 사무총장, 왜? (0) | 2024.06.25 |
