“버그바운티로 보안 사각 해소”…KISA, 기업 자발적 투자 촉진 강조

최근 KT, 롯데카드 등 주요 기업이 연이어 해킹 피해를 입으면서 국내 산업 전반에 사이버 보안 강화 필요성이 다시 부각되고 있다. 이에 대응해 국내 기업이 스스로 취약점을 발굴하고 조치에 나서도록 유도하는 ‘버그바운티’ 제도의 역할이 한층 주목받고 있다. 전문가들은 패시브(사후) 대응에서 벗어나 능동적으로 보안 취약점을 찾아 선제적으로 보완하는 문화가 확산돼야 대규모 해킹 사태의 재발을 막을 수 있다고 강조한다.

버그바운티는 기업 또는 기관이 보유한 제품, 웹사이트, 소프트웨어 등에서 보안 취약점을 찾아낸 개인 또는 집단에게 공식적으로 포상금을 지급하는 제도다. 한국인터넷진흥원(KISA)은 2012년 10월부터 ‘보안 취약점 신고포상제(버그바운티)’를 운영하며 민간인의 자발적 취약점 신고를 독려해 왔다. 신고된 취약점은 분기별로 전문가 평가를 거쳐 침해 확산 가능성, 악용 난이도 등 기준을 반영해 5만원에서 최대 1000만원까지 포상금이 차등 지급된다.

실제로 최근 5년(2020년~2025년 상반기)간 기업 대상 포상금 16억여원 중 14억4000만원 상당이 정부 예산(KISA)으로 지급됐으며, 기업이 자사 취약점 신고에 지급한 금액은 그리 크지 않았다. 이는 전체 포상금의 90%에 달하는 금액으로, 대다수 기업이 자체적 ‘버그바운티’ 운영에 소극적임을 시사한다. 현행 제도는 KISA와 기업이 예산을 분담해 포상금을 지급하는 구조지만, 독립적으로 운영하거나 공동운영사로 참여한 기업은 13년간 33곳에 그쳤고, 이 중 네이버, 카카오, 삼성SDS, LG전자, 지니언스 등 5~6곳만이 별도 독립 운영체계를 갖추고 있다.

글로벌 시장에서는 이미 마이크로소프트, 구글 등 테크 기업과 금융·통신 등 주요 산업군 전반에서 ‘버그바운티’가 상시 운영되는 사례가 늘고 있다. 미국, EU 역시 기업에 보안 투자와 독립적 취약점 신고 체계 도입을 촉진하고 있으며, 실제로 포상금 규모도 수만~수십만 달러에 이르는 경우가 많다. 이에 비해 국내 제도는 전반적으로 정부 의존도가 큰 편이어서, 민간의 자발적 참여 기반이 미흡한 상황이다.

버그바운티는 불법 해킹 대신 합법적 취약점 발견을 보상해 화이트해커들의 참여를 유도하는 한편, 기업 정보보호 수준 자체의 상향평준화를 꾀할 수 있다는 점에서 산업적 파급력이 크다. 그러나 아직까지 국내 대기업 다수를 포함해 독립적으로 제도를 도입하거나 여러 자회사·파트너사까지 범위를 확대한 사례는 손에 꼽힌다.

업계 전문가들은 해킹이 지능화·조직화되는 가운데, 규제기관의 지원만으로는 보안 생태계가 빠르게 진화하는 공격 패턴을 따라잡기 어렵다고 진단한다. 국회 과학기술정보방송통신위원회 소속 한민수 의원 역시 “버그바운티는 돌이킬 수 없는 상황을 사전에 막는 예방적 장치이자, 보안 수준을 높이는 직접 투자”라며 “국내 기업들이 해외 시장처럼 스스로 취약점 관리에 적극적으로 나서야 한다”고 강조했다.

실제 상시적 위협 환경에서 보안의 외주화가 아닌 내재화가 화두로 떠오르며, 전문인력 육성과 독립된 보안체계 확립이 업계의 새로운 과제로 지적된다. “산업계는 이번 해킹 사태를 계기로 민간 차원의 취약점 발굴 노력과 문화가 시장 전반에 확산될 수 있을지 주목하고 있다.”