버그바운티 제도

버그바운티(Bug Bounty)란 버그바운티를 허락한 회사의 제품이나 사이트 등의 취약점을 발견하고, 이를 해당 회사에 통보하여 그에 따른 포상금을 받는 제도를 말합니다.

구글, 페이스북, 마이크로소프트 등 글로벌 IT 기업에서는 이미 버그바운티 제도가 굉장히 활발하게 운영되고 있습니다. 누적 보상금이 수십억원에 달할 정도로 보상금에 대한 투자 또한 아끼지 않고 있는데요. 버그바운티 제도를 지속적으로 유지하는 이유는 이 제도를 통해 신고받은 취약점을 신속하게 보안 업데이트 함으로써 피해를 미리 예방할 수 있기 때문입니다.

실제로 외국의 경우 적은 포상금으로 치명적인 취약점을 발견한 사례들도 많이 접할 수가 있는데요. 저렴한 비용으로 몇 배 이상의 효과를 기대할 수 있게 됩니다. 뿐만 아니라 해커와 보안 전문가들의 관심을 집중시켜 자신들의 시스템에 자연스럽게 유도시킬 수 있고, 이를 통해 광고 아닌 광고 효과도 가져올 수 있습니다. 결과적으로 기업은 사용자들에게 신뢰를 얻으며 긍정적인 이미지를 유지할 수 있습니다.

<출처 : http://www.ddaily.co.kr/news/article.html?no=129715>

미국은 이미 버그바운티를 도입하는 조직이 크게 증가하는 추세입니다. 400여개가 넘는 사기업은 물론 교육기관 및 정부기관들도 버그바운티를 도입하거나 도입을 고려하고 있다고 합니다.

국내 업계에서도 KISA(한국인터넷진흥원)가 2006년부터 S/W 신규 취약점 신고포상제를 실시하고 있는데요. KISA의 경우 출현도 25%, 영향도 30%, 공격효과성 30%, 발굴수준 15%를 평가하여 최소 30만원부터 최대 500만원까지 포상금을 지급하고 있습니다. 신고된 취약점은 자체적으로 검증 및 분석을 실시한 후 보안 업데이트를 개발 할 수 있도록 해당 업체에 전달됩니다.
포상제 도입 이후 신고 건수가 증가했을 뿐만 아니라 신규 취약점에 대한 사전예방, 기업의 인식 변화 등 긍정적인 효과를 보이고 있어, 많은 기업들이 적극적으로 나서고 있습니다.

요즘 국내에서 해킹 사건들이 빈번하게 발생하고 있습니다. 개인정보 유출뿐만 아니라 금전적인 피해를 볼 정도로 단순하게 지나칠 수 없는 큰 사건들이 많습니다. 이는 사전 예방이 부족하고 대책 없이 발생하는 경우가 대다수인데요. 국내 기업들은 정보보안 문제를 해결하기 위해 버그바운티 제도를 잘 활용할 필요가 있습니다. 이를 위해 기업의 문화와 인식이 바뀌어야 하며 자발적인 참여가 중요하겠고, 정부 차원에서도 버그바운티를 위한 제도 확립과 아낌없는 지원이 필요해 보입니다.