“참여 기업 인센티브 강화 연구자 보상 강화 필요”
“면책 기준 명확해야... 선의·악의 구분은 ‘정책 이탈’ 여부”
[보안뉴스 강현주 기자] “취약점을 열심히 찾아내면 취약한 기업이라는 오해를 받습니다. 보안 노력이 되레 평판 부담이 돼야 하는 현실을 개선하기 위한 인식 전환이 필요합니다.”
‘제15회 정보보호의 날 기념식’ 현장에서 나온 목소리다.
8일 서울 용산 피스앤파크컨벤션에서 열린 이번 기념식에서는 ‘보안취약점 상시 신고조치제(CVD·VDP) 발전 방안 패널토의’가 진행됐다. 패널들은 제도 정착을 위해 ‘인식전환’과 참여기업에 대한 인센티브, 선의의 연구자(화이트해커)에 대한 보상 강화, 명확한 기준이 필요하다고 의견을 모았다.

▲CVD·VDP 발전 방안 패널토의 현장 [출처: 보안뉴스]
유진호 상명대학교 교수가 좌장을 맡아 토의를 이끌었다. 선의의 연구자 대표로 박찬암 스틸리언 대표, 이종호 토스 보안기술팀 리더, 기업 대표로 홍관희 LG유플러스 정보보호최고책임자(CISO), 공공기관 대표로 박동욱 한국교통안전공단 과장, 법조계 대표로 손태진 법무법인 선우 변호사가 참석했다.
“집단지성 통한 보안 사각지대 해소 효과”
CVD·VDP는 일시적 이벤트 형태로 운영하는 모의해킹이나 버그바운티와 달리 실제 운영 망을 대상으로 상시로 선의의 해커가 취약점을 탐색해 이를 신고할 수 있도록 한 제도다. 해당 기업 및 기관은 발견된 취약점을 조치 완료 후 내역을 투명하게 공개한다.
정부 CVD·VDP 시범사업에 참여하고 있는 홍관희 LG유플러스 CISO는 “CVD·VDP는 내부 보안 팀이 놓치는 사각지대를 집단지성으로 빠르게 찾아서 방어 역량을 확보하는 효과가 분명 있다”며 “음지에 있던 것을 양지로 나오게 하는 측면도 있다”고 밝혔다.
시범사업에 참여하는 공공기관인 한국교통안전공단 박동우 과장도 이에 공감햇다. 박 과장은 “내부 모의해킹보다 외부 연구자들이 찾은 블랙박스 모의해킹으로 중요한 취약점들을 더 많이 찾았고 양질의 보고서들이 나올 수 있었다”며 “다각도로 취약점을 찾아주시니 감사한 부분”이라고 말했다.
노력할수록 평판 부담 떠안는 모순... 동기부여 강화해야
기업이 CVD·VDP에 참여하는 데 따르는 현실적 우려와 부담도 다뤄졌다.
홍관희 CISO는 “나중에 취약점이 나오면 공개가 될 텐데, 사람들이 취약점의 질을 가지고 논의하기보다는 단순히 숫자만 가지고 ‘A사는 많이 나왔으니 취약해, B사는 안 나왔으니까 잘하고 있어’라고 오해할 우려가 있다”고 말했다. 취약점을 찾아 보안을 강화하려는 노력을 할수록 오히려 평판 부담을 떠안아야 하는 모순이 문제라는 지적이다.
그는 “참여한다는 것 자체가 취약점들을 찾고 조치할 역량이 되니까 참여한다는 부분도 평가해 줄 필요가 있다”고 강조했다.
홍관희 CISO는 “기업이 이 프로그램에 참여하면서 쓰는 운영 비용이나 법적 리스크, 평판 부담보다 얻는 이득이 더 커야 많은 기업이 참여하게 할 수 있을 것”이라며 “과징금 경감 참작 외에도 중복적 규제 면제 같은 실질적 혜택이 주어져야 한다”고 했다.
박동욱 과장은 “기관 입장에서도 취약점 공개 부담, 드러난 취약점 관리 업무로 인한 현업 병목 등으로 부담이 되는 제도인 것은 사실”이라며 “보안 담당자 자리가 오고 싶은 자리가 되도록 하는 동기부여, 공공기관 평가 시 감점 감경책 등의 검토가 필요하다”고 말했다.
연구자들의 활발한 참여를 유도하기 위한 보상 강화 의견도 오갔다.
박찬암 스틸리언 대표는 국내 버그바운티 등의 보상 규모가 해외에 비해 미흡한 현실을 짚으며 “CVD·VDP 역시 자발적으로 하고 싶다는 마음이 생기도록 보상 및 유인책 강화가 필요하다”고 말했다.
이종호 토스 보안기술팀 리더는 “해외의 경우 표준화된 플랫폼을 통한 공정한 측정과 평가로 연구자의 실적이 될 수 있게 한다”며 “국내에도 선의의 연구자의 활동이 자산이 될 수 있도록 상호협력하는 토대가 필요하다”고 말했다.
이와 관련 박동욱 과장은 “보고서 퀄리티 점수를 공정하고 형평성있게 채점해서 연구자들 포트폴리오가 되도록 한다면 공공기관은 보안을 강화하고 연구자에겐 실적이 되는 상호협력 프로토콜을 만들 방안이 되지 않을까”라고 했다.
“기준 모호하면 법적 리스크... 중재자 역할 중요”
이어 해커들의 활동에 대한 적법성과 면책에 대한 논의로 이어졌다.
손태진 법무법인 선우 변호사는 “법 없이도 진행될 수는 있지만 해석이 불분명한 부분들을 명확히 하며 활성화 시키자는 게 CVD·VDP의 취지”라며 “해커의 남용 가능성과 취약점 공개를 꺼리는 정서를 볼 때, 제가 기업 입장이라면 취약점이 가장 적게 나올 가능성이 높은 데 위주로 범위를 정할 것 같다”고 말했다.
이어 “이러한 부분들을 잘 생각해주셔서 맹점이 없는 방향으로 해주시길 바란다”고 말했다.
박찬암 대표는 “화이트해커 입장에서 ‘이것만 확실히 딱 하면 된다’라는 보안 절차나 취약점 결과물 파기 절차 등이 명확히 있어야, 누군가 사고가 났을 때도 모두의 문제가 아니라 그 사람만의 문제로 끝날 수 있다”라며 “기준이 모호할 경우 선의의 연구자가 억울하게 책임을 뒤집어쓸 수 있다”고 지적했다.
박동욱 과장은 “연구자들의 활동으로 양질의 취약점을 찾아 조치할 수 있다는 점은 고마운 부분이지만 정해진 약속 범위를 벗어나는 활동까지 하는 경우가 있다”고 말했다. 이러한 경우들로 인해 연구자들의 활동이 선의와 악의의 구분이 어려워진다는 지적으로 이어졌다.
이와 관련 청중에서도 견해가 나왔다.
윤인수 카이스트 교수는 “선의와 악의 여부는 ‘행위’를 기준으로 판단하는 것으로, 잡혀있는 정책(Policy)을 벗어나는 행위를 하면 그건 선의가 아니라고 봐야 한다”며 “그러한 행위를 하는 이들에게 어떤 제재를 내리는 것은 중재자의 역할”이라고 말했다. 그는 “CVD·VDP가 기업과 선의의 해커가 윈윈하는 제도로 발전하길 바라며, 이를 위해 중재자의 역할이 중요하다”고 강조했다.
[강현주 기자(jjoo@boannews.com)]
<저작권자: 보안뉴스(www.boannews.com) 무단전재-재배포금지>














