한국인터넷진흥원(원장 이상중, 이하 KISA)은 6월 16일(월)부터 기업의 보안 취약점 발굴과 선제적 대응을 지원하는 ‘버그바운티 공동 운영 제도’의 참여 기업을 모집한다고 밝혔다. 올해는 특히 중소기업을 위한 ‘체험형 공동 운영 제도’를 추가 신설했다.
버그바운티는 소프트웨어 또는 웹 서비스의 신규 보안 취약점을 발견해 신고한 사람에게 포상금이나 인센티브를 제공하는 신고포상제도이다. 해당 제도는 초기 비용 부담이 적고 효과적인 보안 취약점 발굴이 가능해 다수의 글로벌 기업이 도입하고 있으나, 국내에서는 아직 미미해 KISA는 2012년부터 버그바운티를 운영해 왔다.
한편, ‘버그바운티 공동 운영 제도’는 기업이 버그바운티를 도입할 수 있도록 2014년부터 정부 지원으로 KISA가 운영하고 있다. 참여 기업은 ▲취약점 발굴 및 평가 ▲포상금 산정 ▲취약점 분석 플랫폼 서비스 무상제공 ▲정보보호 활동 확인서 발급 ▲기업 홍보 기회 등 다방면의 지원을 받을 수 있다.
올해는 특히, 중소기업을 대상으로 ‘체험형 공동 운영 제도’를 신설해 전문성과 경험 및 예산 부족으로 자체적인 버그바운티 운영이 어려운 중소기업에 실질적인 취약점 점검 기회를 제공한다. 체험형 공동 운영사로 선발된 기업에게는 참여 후 1년간 포상금까지 지원하며 기업 SW 및 서비스 보안 점검을 제공한다. 중장기적으로는 중소기업이 버그바운티를 직접 운영할 수 있도록 필요한 기술과 노하우를 전수할 예정이다.
지금까지 28개 기업이 공동 운영사로 참여했으며, 이 중 네이버, 카카오, 지니언스, LG전자, 삼성SDS 5개 기업은 자체 버그바운티를 구축하고 독립 운영에 성공했다. 자세한 내용은 KISA 사이버 보안 취약점 정보 포털 누리집의 신고포상제 메뉴에 있으며, 신청 및 문의는 이메일을 통해 할 수 있다.
KISA 이동근 디지털위협대응본부장은 “최근 증가하는 침해사고에 대한 선제적 대응을 위해, 기업의 보안 취약점을 조기에 발견하고 개선할 수 있는 버그바운티 공동 운영 제도에 많은 기업의 관심과 참여를 기대한다”며 “KISA는 앞으로도 기업이 스스로 보안 역량을 내재화할 수 있도록 보안 생태계를 지속적으로 강화해 나가겠다”고 밝혔다.
