소프트웨어 취약점 위주의 신고 체계, 기업의 자발적인 참여 미흡도 숙제

[시큐리티월드 민세아] 최근 사물인터넷 확산으로 인해 다양한 보안취약점이 IT 분야는 물론 자동차, 각종 생활 서비스 분야에서도 심심치 않게 발견되고 있다. 최근에는 패치가 이루어지지 않은 상태에서 발견되는 제로데이 취약점이 1주일에 한 번꼴로 발견된다는 조사결과도 발표됐다. 이러한 가운데 최근 미국 국방부와 스마트폰 기반의 교통·운송 서비스를 제공하는 우버에서도 버그바운티 진행 소식을 밝히면서 취약점 제보에 대한 관심이 높아지고 있다.


버그바운티(Bug Bounty)는 특정 프로그램에 대한 알려지지 않은 보안 취약점을 찾아내 신고한 사람에게 취약점의 위험도에 따라 상금을 지급하는 제도다. 이는 이미 세계적으로 활성화되어 있으며, 구글(Google), MS(Microsoft), 페이스북(Facebook) 같은 유명 대기업들이 선도적으로 나서고 있다.

국내에서도 네이버(라인), 한글과컴퓨터 사 등이 한국인터넷진흥원(KISA)과 손을 잡고 버그바운티 제도를 활성화시키기 위해 노력하고 있다. 특히, 지난해 국내에서도 취약점 찾기 대회로 유명한 한국형 폰투오운(Pwn2Own) ‘Capture The Bug’가 개최되기도 했고, 최근에는 캐나다에서 개최된 폰투오운(Pwn2Own) 행사에서도 한국인 이정훈 씨가 상금왕을 차지하는 등의 영향으로 버그바운티 제도에 대한 국내의 관심이 높아지고 있는 추세다.

그러나 이러한 높은 관심에 비해 국내에는 아직 버그바운티가 활성화될 수 있는 환경이 제대로 갖춰져 있지 않다는 문제점이 제기되고 있다.

국내에는 취약점을 찾아 신고할 수 있는 기관이 국가정보원(이하 국정원), 한국인터넷진흥원(이하 KISA)이 있는데, 정부·공공기관에 대한 보안취약점은 국정원으로, 그 외의 민간 분야에 대한 취약점은 KISA로 신고하도록 되어 있다.

현재 KISA에서는 보안 업데이트가 나오지 않은 소프트웨어 취약점 중 실제 공격에 악용될 경우 다수의 국민에게 피해를 줄 수 있는 사항을 대상으로 포상금을 지급하고 있다.

소프트웨어 취약점을 신고받으면 해당 취약점 소프트웨어 개발사 측에 취약점 내용을 전달하고 조치하도록 한다. 보안패치가 완료되면 해당 내용을 KISA 보호나라 사이트 등에 공지한다. 소프트웨어 취약점의 경우 취약점 신고 포상자의 이름을 동의 하에 공개하는 명예의 전당을 운영하면서 적극 수용하고 있다. 단, 해당 신고는 소프트웨어 보안 취약점에 한정되어 있고, 취약점 신고시 적극적인 대응이 아쉽다는 지적이 나온다.

본지에서도 최근 한 보안전문가가 웹 취약점을 발견하고 이를 신고하려다가 많은 불편함을 겪었다는 제보를 받았다. 발견한 웹취약점을 국정원에 신고하려 했더니 공공이 아닌 민간 부문의 취약점은 KISA 측에 신고해야 한다는 말을 들었고, 경찰청 사이버안전국과 방송통신위원회에서도 같은 답변을 들었다는 얘기였다. 그래서 발견한 취약점을 KISA에 신고했으나 소프트웨어 취약점과는 달리 포상금이나 추후 처리결과에 대한 답변을 들을 수 없었다는 것이다.

KISA에서는 실제 서비스 중인 웹사이트나 서버, 네트워크, 보안장비 등 시스템에 특정 데이터를 전송해 영향을 줄 우려가 있는 서비스 취약점이나 사용자의 극단적인 개입이 있어야 악용될 수 있는 취약점 등은 포상 및 평가 대상에서 제외하며, 일반 신고로 접수되거나 별도의 조치 없이 내부적으로 종결될 수 있다고 공지하고 있다.

그러나 대부분의 웹사이트 취약점은 해킹 사고가 아닌 이상 실제 웹사이트나 시스템에 특정 데이터를 전송하는 취약점이 다수라고 할 수 있다. 만약 이러한 웹사이트 취약점들을 발견해 신고해도 별도의 조치 없이 방치되는 것일까? 그렇치 않다는 게 KISA 측의 답변이다.

웹 취약점을 방치하지 않고 웹사이트 취약점이나 악성코드 유포·경유지에 대한 신고를 받으면 KISA는 해당 웹사이트가 조치될 수 있도록 직접 연락을 취한다고 설명했다. 악성코드 유포·경유지로 악용되고 있지만 연락이 안 되는 경우 ISP를 통해 직접 차단을 하기도 하는 것으로 알려졌다.

이와 관련 KISA 관계자는 “웹사이트 취약점 같은 경우 실제로 구현된 사이트에 대한 취약점을 제보 받다 보면 해당 사이트에 대한 실제 공격이 이루어질 가능성을 우려해 적극적으로 수용하지 못하는 게 사실”이라며, “신고자가 처리결과를 받지 못한 것은 전달과정에 문제가 있었던 것 같다”고 전했다.

국내 웹사이트 해킹이나 개인정보 유출사고는 웹 취약점으로 인해 발생하는 게 대다수라고 할 수 있다. 웹 취약점 제보로 인한 부작용이 우려되는 것도 사실이지만 해당 취약점으로 인해 실제 문제가 발생하기 전에 제보를 받아 패치할 수 있다는 점에서 버그바운티 제도의 폭을 좀더 확대해야 할 필요성도 제기된다.

또 한 가지는 버그바운티 제도에 대한 국내 기업들의 소극적인 움직임이다. 국내 기업들은 취약점이 발견되어도 공개하고 적극 조치하기 보다는 주로 숨기기에 급급한 모습을 보인다. 취약점을 찾아 기업에 제보해주면 오히려 적반하장으로 화를 내며 ‘니가 뭔데’ 식의 태도를 보이는 경우가 많다. 기업 입장에서는 취약점이 많이 발견되어 부정적인 이미지로 비춰지는 것이 걱정스럽기 때문이다.

게다가 국내에서는 상용망에서 취약점을 찾는 활동 자체를 불법으로 규제하고 있어 버그바운티 제도가 활성화되기 어려운 것이 현실이다.

그럼에도 국내에서는 한컴이 2014년 2분기, 네이버가 2015년 2분기부터 KISA와 함께 버그바운티 제도를 공동으로 운영하고 있으며, 카카오도 곧 합류할 예정으로 알려졌다. 삼성전자도 자사 스마트TV에 대한 버그바운티를 진행하고 있다.

보안취약점으로 발생할 수 있는 사고에 미리 대응할 수 있게 해주는 버그바운티 제도. 국내 기업들의 보다 자발적이고 적극적인 참여와 함께 취약점 제보 체계를 보다 명확하고 상세하게 매뉴얼화 해야만 이 제도의 활성화를 유도할 수 있을 것으로 보인다.
[글 시큐리티월드 민세아 기자(sw@infothe.com)]

<저작권자 : 시큐리티월드(http://www.securityworldmag.co.kr) 무단전재-재배포금지>