삼성SDS가 화이트 해커가 보안 취약점을 신고하면 포상하는 ‘버그바운티’ 프로그램을 도입한다. 삼성SDS는 버그바운티 도입을 통해 자사 제품 뿐만 아니라 다른 기업의 취약점도 발견할 수 있는 플랫폼으로 발전시켜 판을 넓히겠다는 계획이다. 현재 공공이 주도하는 버그바운티 제도가 민간영역까지 확대될지 주목된다.
삼성SDS는 지난 11월부터 시범운영하고 있는 버그바운티 플랫폼 ‘해킹존’을 내년 상반기 도입을 검토하고 있다고 22일 밝혔다.
해킹존은 기존의 버그바운티와 달리 여러 고객이 참여 가능한 플랫폼이라는 차별점을 가지고 있다. 빠르게 발전하는 해킹기술에 대응하기 위해 다수 사용자들의 집단지성을 통해 취약점을 찾아낼 수 있는 플랫폼으로 신고자는 포상을 받고, 기업은 버그를 발견해 보안성을 높일 수 있는 상생 방안으로 꼽힌다.
삼성SDS 관계자는 “정보기술(IT) 제품·서비스는 나날이 복잡하고 거대해지며, 해킹기술도 발전하기 때문에 소수인력의 보안점검만으로 모든 취약점을 찾아내는 것은 불가능하다”며 “다수 사용자의 집단지성을 이용해 최대한 많은 취약점을 찾아낼 수 있도록 해킹존 플랫폼을 만들었다”고 설명했다.
신고대상은 삼성SDS의 제품 및 서비스를 포함한 8개 서비스이며 현재까지 이용자 300여명을 확보했다. 유효 취약점 한 건당 최대 1,000만원의 포상금을 받을 수 있다. 이미 지난 11월부터 302건의 취약점이 보고되는 등 시범운영 기간에도 상당한 효과를 나타내고 있다.
삼성SDS는 해킹존을 고도화 시켜 다른 기업들의 보안 취약점도 지원하는 등 외부 고객을 지속적으로 확대해 나간다는 계획이다. 회사 관계자는 “사내 벤처로 추진되는 버그바운티를 통해 많은 노하우가 축적되면 삼성SDS의 보안 솔루션이나 컨설팅 사업과도 시너지를 낼 것으로 기대한다”고 말했다.
최근 업계에서도 보안 전쟁에 빈틈을 메우기 위해 버그바운티를 도입하려는 움직임이 활발하다. 내부 인력이 파악하지 못한 취약점을 발견해 선제 대응 할 수 있고, 이를 통해 발생할 사고를 막을 수 있기 때문이다.
실제로 한국인터넷진흥원이 지난 2012년부터 도입한 버그바운티 프로그램에는 LG전자와 카카오(035720), 안랩(053800), 이스트시큐리티, 한글과컴퓨터 등 20개 기업과 함께 참여하고 있다.
올해만 지난 11월까지 1,294건이 신고돼 471건이 유효 신고 건수로 판별됐고 총 2억4,368만원이 보상됐다. 2012년에 신고건수 23건, 유효신고건수 14건, 총 보상액 1,970만원이었던 것에 비해 크게 증가한 수치다.
네이버도 지난해 3월 자체 버그바운트 시범 운영을 거친 뒤 같은 해 9월부터 단독 운영하고 있다. 네이버 페이·블로그·웹툰 등 10여개 웹사이트와 웨일 브라우저·네이버 툴바·백신 등에 대해서 취약점을 신고받는다. 지난 11월까지 유효 신고 건수는 800건이고, 총 포상액은 1억원 이상이다. /김성태기자 kim@sedaily.com
< 저작권자 ⓒ 서울경제, 무단 전재 및 재배포 금지 >
kim@sedaily.com
