[프라임경제] 23일 한국인터넷진흥원 인터넷침해대응센터(KISC)는 내년 취약점 신고포상제 참여 기업을 확대한다고 밝혔다.

이날 박정환 KISC 취약점점검팀장은 "취약점 신고포상제 관련 통신사, 포털 등 여러 업체와 협의하고 있으며, 내년에 참여기업을 현재보다 더 확대할 수 있을 것"이라며 "내년 초 카카오와 협의를 완료할 수 있을 것"이라고 말했다.

취약점 신고포상제란 화이트 해커 등 외부에서 해당 기업의 소프트웨어 등에 대한 취약점을 찾아주면 30만~500만원까지 포상금을 지급하는 제도다. 한국인터넷진흥원은 취약점 신고 홈페이지를 통해 자체적으로 취약점 신고포상제를 시행하고 있으나, 이를 기업 자율로 실시할 수 있도록 협의를 진행하고 있다.

KISC에 따르면 현재 네이버와 한글과컴퓨터 두 곳만 신고포상제에 참여하고 있다. 기업들이 직접 참여할 경우, 포상금은 해당 기업이 지급하게 된다. 이는 버그바운티(Bug Bounty)로도 불리는데, 마이크로소프트, 구글 등 글로벌 기업들은 자사의 취약점을 찾기 위해 이를 적극 활용하고 있다.

국내의 경우 기업이미지 때문에 취약점을 발견했다는 사실 공개를 꺼려하는 분위기라 이들을 신고포상제에 합류시키기 어려운 현실이다.

하지만 기업들이 사이버공격에 대해 안전하게 대응하려면 취약점 공개 및 개선을 긍정적으로 바라보고 인식을 전환할 필요가 있다는 것.

전길수 KISA 사이버침해대응본부장은 "기업들은 취약점을 감추고 싶어하기 때문에 이를 찾아 신고했을 때 왜 우리가 대상이냐는 부정적 인식을 갖고 있다"며 "국가 주도로 이 제도를 만든 이유는 기업들의 적극 참여에 중점을 두고 판을 조성해 인식 자체를 개선하기 위한 것"이라고 설명했다.

이미지뿐 아니라 포상금액에 대한 비용 부담을 느끼는 것도 사실이다. 투자한 비용을 통해 기업이미지 제고 등 긍정적 효과가 발생해야 하는데, 오히려 보안이 취약한 기업이라는 인상을 남길 수도 있기 때문이다.

박정환 팀장은 "자발적으로 기업들이 스스로 해야 하는 부분이라 설득하기 쉽지 않다"며 "국내 대기업은 주기적으로 취약점을 찾고 있지만, 오픈해서 실시하는 것에는 소극적"이라고 진단했다.

이어 "해당 기업들이 해당 취약점에 대해 포상을 하려면 별도 예산을 마련해야 하고, 이를 진행하더라도 장애 포인트가 생기면 사회적으로 큰 데미지를 입을 수 있기 때문"이라고 덧붙였다.

이날 주용완 KISC 침해대응단장은 "가장 중요한 부분이 취약점 신고포상제로, 각 기업들은 자체적으로 취약점을 찾을 수 있는 채널을 통해 사전 보안체계를 갖춰야 한다"며 "네이버와 한글과컴퓨터는 적극 협조해 진행하고 있는데, 나머지 업체들도 같이 공조해 진행하기를 바란다"고 강조했다.