[뉴스웍스=박광하 기자] 국회 과학기술정보방송통신위원회가 24일 개최한 'KT·롯데카드 대규모 해킹 사고 관련 청문회'에서 기업, 기관의 자발적 보안 활동을 촉진해야 한다는 의견이 제시돼 여야 의원들의 공감을 이끌어냈다. 정보보호 전문가들은 자발적 보안 활동으로 '버그바운티'를 제시했다.

'버그바운티(Bug Bounty)'란 기업이나 기관에서 자신이 구축, 운영하는 시스템의 보안 취약점을 발견한 해커에게 보상금을 지급하는 제도다. 화이트해커가 웹사이트, 애플리케이션, 네트워크 등에서 보안 취약점을 찾아 신고하면, 발견 취약점의 위험 수준에 따라 금전적 보상을 받는다. 기업, 기관은 낮은 비용으로 보안을 강화할 수 있고, 해커는 합법적으로 수익을 얻는 '윈-윈 구조'다.

김승주 고려대 정보보호대학원 교수는 이날 청문회에 참고인으로 출석해 해킹 예방, 피해 확산 방지를 위한 기업의 자발적 노력을 경감 사유로 인정해야 한다고 특별 발제를 통해 강조했다. 김 교수는 "외국에서는 (자발적인 사이버 보안 활동을) 경감 사유로 봐준다"며 "예를 들어 패스워드가 똑같이 유출돼도 어떤 곳은 하루 만에 복구하고 피해 사실을 알렸지만, 어떤 곳은 1년을 지체했다면 하루 만에 조치한 곳은 당연히 경감을 받아야 한다"고 설명했다.

그는 버그바운티가 자발적 보안 활동이라고 단언했다. 김승주 교수는 통화에서 "외국은 취약점을 적극적으로 제보받는 행위를 굉장히 좋게 본다"며 "(버그바운티는) 당연히 (자발적 보안 활동으로) 인정받고 있다"고 말했다. 반면 "한국은 (취약점 발견 활동에 대해) 사실적시 명예훼손 등으로 접근하는 사례가 종종 있다"고 지적했다.

이원태 국민대 특임교수 또한 전화 인터뷰에서 "기업, 기관과 화이트해커의 신뢰 관계가 중요한데 아직 우리 사회에서는 (그런 관계가) 성숙하지 못한 것 같다"며 "아직까지도 제3자 평가에 대한 믿음이 부족하다"고 진단했다. 이원태 교수는 기업, 기관 스스로의 보안 점검 활동에 대해 "자신이 문제를 내고, 자신이 시험을 치르고, 자신이 체점을 하는 셈"이라며 "이런 활동으로는 한계가 분명하다"고 짚었다.

그는 "미국, EU, 싱가포르 등 해외에서는 버그바운티가 활성화돼 있다"면서 "기업, 기관의 (버그바운티) 참여를 유도하기 위해 인센티브가 필요하다"고 강조했다. 법령으로 버그바운티 활동을 적극적으로 하는 기업, 기관에서 해킹 사건 발생 시 책임을 경감하자는 의견으로 풀이된다.

이원태 교수는 과거 한국인터넷진흥원(KISA) 원장 재직 시절 버그바운티를 시행한 경험을 언급하며 "중소기업과 화이트해커들의 참여를 통해 취약점 발견 및 개선 활동을 한 결과 만족도가 높았다"고 평가했다. 그러면서 "버그바운티는 기업, 기관의 자발적 취약점 발견·개선 참여를 유도하는 '상시 사이버 민방위 훈련'이라는 의미가 있다"며 "이 제도에 대한 산업계의 인식 개선과 정부의 인센티브 제도 도입을 병행한다면 효과가 있을 것"이라고 말했다.