한국인터넷진흥원(KISA)은 소프트웨어에서 발견된 보안 취약점을 신고 받아 보상해 주는 ‘보안 취약점 신고 포상제’를 2012년 10월부터 운영 중이다. 보안 취약점을 악용한 사이버 위협을 선제적으로 예방하고, 관련 전문가를 발굴해 지원하는 취지에서다. 신고 포상제 도입 이후 2015년 말까지 총 797건의 취약점 신고가 접수됐고 그중 495건에 포상금을 지급했다.

 

지난해에는 한 해 동안 접수된 321건의 취약점 사례 중 피해 심각성, 기술 난이도 등의 기준으로 심사해 우수 신고자를 시상했다. 이같은 ‘버그바운티(Bug Bounty)’ 제도는 해외에서는 기업들에 의해 자발적으로 도입, 확대되고 있다. 현재 국내에서 ‘보안 취약점 신고 포상제’를 도입한 기업은 네이버와 한글과컴퓨터, 삼성 등 일부 뿐이다.

 

다른 대다수 국내 기업들은 자사 개발 제품의 취약점을 공개적으로 제보받는 데 익숙하지 않을뿐더러 불편해 한다. 모든 해커를 공격자로 간주하는 등 제보자에 대해 부정적인 국내 기업들의 ‘보안 태도’ 자체가 보안 취약점이 될 가능성이 높다는 지적이 제기되고 있다.

 

 

제너럴모터스(GM)가 지난달 자사 제품의 취약점을 제보하는 버그바운티 제도를 도입했다. GM은 해커들이 회사나 고객의 프라이버시를 침해하지 않고, 제로 데이 공격(Zero Day Attack·보안 취약점을 악용해 대응책이 세워지기 전에 재빨리 이뤄지는 공격)을 하지 않으며, 법률을 위반하지 않는다면 고소하지 않겠다는 가이드라인을 제시했다. 우버도 최근에 자동차 해킹을 널리 알린 해커 두명을 정식으로 고용했다. 자동차 보안 과제를 해결해야 했던 우버는 파격적인 조건으로 해커들과 고용 계약을 맺었다. 하지만 페이스북은 지난해 말 해커 와인버그가 제출한 인스타그램 원격코드의 취약점 세 가지 중 하나 만을 인정하고 2500달러를 지불했다.

 

글로벌 기업들은 보안 문제 해결을 위해 취약점을 제보한 사람에게 보상하는 버그바운티 제도를 운영하거나 화이트 해커를 활용하고 있다. 버그바운티 제도나 화이트 해커는 제품의 문제점을 발견해 해결하는 것은 물론 보안 사고를 사전에 예방 하는 데 효과적으로 활용될 수 있다. 현재 구글, 야후, 페이스북, 마이크로소프트 등 많은 글로벌 기업이 채택하고 있다.

 

구글은 지난 2013년 10월부터 제도를 확대 운영하고 있으며 취약점 발견 대상을 구글 제품 뿐 아니라 위험성이 큰 무료 소프트웨어까지 확대했다. 구글의 취약점 보상 프로그램에 공시된 규정에 따르면 채택된 신고는 건당 2만달러까지 보상받을 수 있다. 2015년에는 중대한 안드로이드 취약점에 대해 최대 3만8000달러까지 보상하는 특별 보상제를 실시했다. 페이스북은 이 제도의 운용범위를 해외로 넓혀 2014년에는 123개 국가로부터 신고를 받았다. 인도가 가장 많은 신고 건수(196건)를 기록했고, 이집트와 미국이 그 뒤를 이었다. 페이스북이 2015년 초까지 지불한 총 보상 금액은 300만달러에 이른다.

 

반면 야후는 2013년 보안 취약점을 찾아낸 이들에게 자사 티셔츠를 보내줘 빈축을 샀다. 스위스 보안회사 ‘하이테크 브리지’는 취약점을 찾아준 대가로 야후로부터 12달러50센트짜리 상품권만을 받았다. 결국 야후는 같은 해 10월 버그바운티 제도를 도입했고, 현재 최대 보상금은 1만5000달러에 이른다. 2015년 7월까지 야후는 1800명로부터 1만건 이상의 제보를 받았고 이 가운데 600명에게 총 100만달러의 보상금을 지급했다. 매년 제보와 제보자들이 증가하는 가운데 야후는 해당 제도를 더 확산하기 위해 포인트를 지급하는 방식의 명성 프로그램을 추가 도입했다.

 

버그바운티 제도는 해커들이 착한 의도로 취약점을 찾아 보고할 때 처벌하지 말자는 아이디어에서 착안했다. 지난 1995년 인터넷 프로그램 개발 회사 넷스케이프의 한 직원에게서 시작했다. 기술직원이던 리링하퍼는 당시 직원들이 ‘모질라’ 등 자사개발 프로그램에 열광하는 것을 보고, 인력 활용에도 도움이 되는 재정적 보상 제도인 버그바운티 프로그램을 회사에 제안했다.

 

이 제도는 임원들의 반대에 부딪쳐 좌초될 뻔 했으나 1995년에 예산 5만달러를 책정 받으며 공식 도입됐다. 버그바운티 제도는 넷스케이프에서 이례적으로 큰 성공을 거뒀지만 최근까지도 다른 기업에게서는 적극적으로 활용되지 못했다. 해킹은 비도덕적 행위라는 인식이 지배적이었고, 좋은 의도로 실행된 해킹이 어떤 것인지 구분하기 어려웠기 때문이다.

 

보안 전문 용어로 해커는 ‘화이트 해커(White Hat Hacker)’와 ‘블랙 해커(Black Hat Hacker)’로 나뉜다. 미국 고전 서부 영화에서 착한 주인공과 악당을 구별하려면 모자의 색깔을 보면 된다는 점에서 착안한 이름이다. 영화 속 착한 주인공은 언제나 흰 모자를 쓰고 있다. 문제가 발생하기 전에 취약점을 찾아내 기업에 제보하는 화이트 해커가 출현하면서 해커는 부정적인 이미지를 탈피하기 시작했다.

 

그러면 해커들의 선악 기준은 어디에 있는 것일까. 그들의 의도는 어떻게 파악할 수 있을까. 이러한 문제를 해결하기 위해 화이트 해커들이 잇달아 회사를 설립해 보안 취약점의 보고 방식과 소통 과정을 표준화하는 작업에 착수했다.

 

뉴스위크는 최근 화이트 해커와 버그바운티가 새로운 비즈니스 생태계를 조성하고 있다고 보도했다. ‘해커원(HackerOne)’은 야후와 트위터의 버그바운티 프로그램 외주업체로 어렸을 때 함께 게임을 해킹하던 네덜란드인 마이클 프린스와 요버트 압마가 설립한 회사다. 그들은 2011년 실리콘 밸리로 건너와 IT기업 100개에 연락을 했다. 사전에 기업마다 15분씩을 할애해 해당 기업 웹사이트의 보안 취약점을 찾아냈고, 각 기업에게 자세한 내용을 알려주겠다고 전달했다.

 

그러나 100개의 기업 중 3분의 1은 전혀 회답하지 않았고, 다른 3분의 1은 '감사하다'는 답변만 할 뿐 더 이상의 언급을 피했다. 나머지 3분의 1이 취약점 제보를 환영하며 진지한 반응을 보였다. 그 중 한 곳이 페이스북이었다. 프린스와 압마는 “해커에 대한 부정적인 이미지를 깨기 위해 해커원이라는 회사를 만들었다”며 “미디어에서 해커들이 단순히 범죄자로 묘사되는 점이 안타깝다”고 말했다.

 

맥스 저스티스는 대학생 화이트 해커의 전형적인 예다. 저스티스는 메사추세츠공대(MIT)에서 컴퓨터공학을 전공하는 학부생이다. 기숙사에서 딱히 할 일이 없거나 게으름을 부리고 싶을 때 컴퓨터 앞에 앉아 오류 찾기에 열중하는 것이 그의 취미다. 웹 페이지 이곳저곳 뒤적이다가가 이상한 점을 발견해 파헤치다 보면 문제점을 찾게 된다는 것이다. 그는 “예전에는 보안 취약점을 찾아 제보하려고 기업에 연락했는데 ‘허용되지 않은 접근’(Unauthorized Access)으로 간주하고 범죄자 취급을 받기도 했다”며 자신이 시대를 잘 타고 났고 지금까지 약 3만달러를 벌었다고 밝혔다.

 

뉴스위크는 화이트 해킹이 실속 있는 사업이라고 평가했다. 사이버보안 산업 시장 규모는 750억달러에 이르며, 미래 성장 산업으로 주목받고 있다. 실제로 해커원은 지난 한 해 동안 1만7000개의 취약점을 발견해내는 성과를 거뒀고, 584만달러의 매출을 올렸다. 많은 인력을 필요로 하는 이 산업은 사실상 실업률이 제로에 가깝다. 저스티스는 “취미삼아 또 용돈을 벌기 위해 보안 취약점을 찾지만 장기적인 목표는 보안 산업에서 경력을 쌓는 것이며 지금까지 몇 차례 화이트 해커 인턴과정을 이수했다”고 말했다.

 

마튼 미코스 해커원 최고경영자(CEO)는 화이트 해커 산업을 ‘보이 스카우트’에 비유했다. 호기심이 왕성하고 에너지가 넘치는 소년들이 생산적인 활동을 할 수 있도록 적합한 경로를 제시하기 때문이다. 오픈소스 소프트웨어 회사 ‘마이시큐엘’을 이끌었던 그는 “한 때 사람들이 출처 공개가 해커들의 활동 범위를 넓힐 것이라고 걱정했지만, 걱정과 달리 수많은 프로그램 개발자들이 취약점을 찾아내 즉시 해결하므로 오픈소스 소프트웨어는 개별 기업 생산 제품보다 더 안전하다는 것을 깨닫게 됐다”고 설명했다.

 

오픈소스는 이제 대세로 받아들여지고 있다. 그는 “화이트 해커도 비슷한 과정을 겪을 것이며 기업과 대중이 공개의 힘과 공동작업의 시너지를 점차 확인하게 될 것”이라고 예측했다. 뉴스위크에 따르면 포춘 2000 기업 중 94%는 아직도 공식적인 취약점을 보고받는 통로를 개설하지 않았다. 취약점을 발견해 신고한 해커의 이름을 명예의 전당에 올려주는 글로벌 기업들의 전략을 참고할 때다. 기업들은 이제 사이버 공격을 두려워할 것만이 아니라 해킹을 긍정적으로 바라보고 인식을 전략적으로 전환할 필요가 있다.

 

신지선 토마토CSR연구소 연구위원 jiseon@etomato.com