민간 전문가 참여로 정보보호 수준 높였다, 핵 더 키사 성료
동아닷컴
입력 2018-12-19 17:19 수정 2018-12-19 17:28
한국인터넷진흥원(이하 KISA)가 실제 운영 중인 홈페이지에서 공개적으로 취약점을 찾는 '핵 더 키사(Hack the KISA)' 대회 포상 시상식을 진행했다.
핵 더 키사는 진흥원이 운영 중인 보안 취약점 신고포상제의 일환으로 진행한 행사로, 소프트웨어와 달리 상대적으로 미비한 인터넷 서비스(웹 페이지 등) 취약점 발견 및 신고를 활성화하기 위한 방안으로 마련됐다. 기존의 신고포상제는 소프트웨어 중심으로 운영해온 만큼, 웹 서비스 취약점에 대해서는 미비했다. 최근 뽐뿌, 여기어때 등 웹 페이지를 통한 악성코드 유포나 개인정보 탈취 등의 사고가 빈번히 일어나고 있지만, 현재 정보통신망법 48조에 따라 화이트해커가 웹 서비스 취약점을 찾기 위해 접근하는 것은 불법으로 간주될 수 있다.
하지만, 이미 해외의 경우 버그바운티 등의 행사를 통해 내부에서 발견하지 못한 보안 문제를 외부의 화이트해커를 경진대회 방식으로 참가하도록 해 보안을 강화하고 있다. 특히 핵 더 키사의 모델이 된 핵 더 펜타곤은 미국 국방부가 자신의 홈페이지를 개방해 민간 화이트 해커가 취약점을 발견하고, 이를 통해 상대적으로 적은 비용으로 보안 문제를 해결하고 미래에 발생할 사고에 대비하고 있다.
11월 15일부터 28일까지 열린 이번 대회에는 485명의 민간 보안 전문가가 참여했으며, 참여자 59명이 총 163건의 취약점을 발견하고 신고했다. KISA는 이 중 60건을 선정하고 28명에게 총 상금 2,555만 원을 포상했다. 대회 시작 26분만에 최초 신고가 접수되는 등 참여자 사이의 치열한 취약점 발굴 경쟁이 있었으며, 이 중 난이도나 파급도에 따라 상위 4명에 대해 시상을 진행했다.
이번 대회의 가장 큰 성과는 일상 점검에서 발견하지 못한 취약점을 다양한 민간 전문가와 함께 여러 시각에서 바라본 만큼, 평소 간과했던 점들을 찾을 수 있었다는 점이다. 특히 국내 정보보호 관련 최고 권위기관인 KISA 역시 이번 행사를 통해 내부 보안 현황을 재점검하고 내실을 다질 수 있는 계기가 됐다는 설명이다. 향후에는 민간 협력 기반 서비스 취약점 발굴 모델을 만들고 확산해, 신고포상제 공동 운영사와 함께 이러한 행사에 참여를 유도할 계획도 밝혔다.
KISA 김석환 원장은 "작년 이맘때 쯤 핵 더 키사를 처음 얘기했다. 행사를 준비하면서 내외로 많은 우려와 반발이 있었고, 모험은 임기 마지막에 해보라는 얘기도 들었다. 그럼에도 불구하고 이를 추진한 결과 큰 성과를 얻었다. 가장 먼저 정보보호 수준을 평가하는 기관으로서 우리의 수준에 대한 객관적인 평가가 필요했으며, 국내에서도 사이버 공격에 대한 '수비수'뿐만 아니라 '공격수'를 육성해야 할 필요가 있다고 느꼈다"고 말했다.
또, "현재 소프트웨어에 집중된 취약점 신고를 웹 서비스 영역으로 확대해 국민이 체감할 수 있도록 질을 높이는 것은 물론, 해외로 이러한 사례를 수출하는 등 생태계를 키워갔으면 하는 바람이다. 내년에는 KISA뿐만 아니라 민간 기업이 이러한 행사를 개최하도록 유도할 계획이다"고 말했다.
동아닷컴 IT전문 이상우 기자 lswoo@donga.com
핵 더 키사는 진흥원이 운영 중인 보안 취약점 신고포상제의 일환으로 진행한 행사로, 소프트웨어와 달리 상대적으로 미비한 인터넷 서비스(웹 페이지 등) 취약점 발견 및 신고를 활성화하기 위한 방안으로 마련됐다. 기존의 신고포상제는 소프트웨어 중심으로 운영해온 만큼, 웹 서비스 취약점에 대해서는 미비했다. 최근 뽐뿌, 여기어때 등 웹 페이지를 통한 악성코드 유포나 개인정보 탈취 등의 사고가 빈번히 일어나고 있지만, 현재 정보통신망법 48조에 따라 화이트해커가 웹 서비스 취약점을 찾기 위해 접근하는 것은 불법으로 간주될 수 있다.
하지만, 이미 해외의 경우 버그바운티 등의 행사를 통해 내부에서 발견하지 못한 보안 문제를 외부의 화이트해커를 경진대회 방식으로 참가하도록 해 보안을 강화하고 있다. 특히 핵 더 키사의 모델이 된 핵 더 펜타곤은 미국 국방부가 자신의 홈페이지를 개방해 민간 화이트 해커가 취약점을 발견하고, 이를 통해 상대적으로 적은 비용으로 보안 문제를 해결하고 미래에 발생할 사고에 대비하고 있다.
KISA 침해사고분석단 이동근 단장은 "핵 더 키사는 국내 공공기관 최초로 시행한 개방형 서비스 보안 취약점 찾기 대회다. 현재 정보통신망법 48조에 따라 화이트해커가 웹 서비스에 접근하기 어려운 상황이며, 이 때문에 웹 서비스 제공자가 자발적으로 참여해 이에 대한 취약점 신고 포상제를 운영할 수 있는 방안이 필요하다. 핵 더 키사는 이러한 문화를 조성하기 위한 행사로, 사전 접수 받은 참가자가 특정 기간에 사전에 정해진 몇 개의 웹 페이지에만 접근할 수 있도록 제한하는 등 법에 저촉되지 않고 사고를 예방할 수 있게 진행했다"고 설명했다.
KISA 침해사고분석단 이동근 단장(출처: IT동아)
11월 15일부터 28일까지 열린 이번 대회에는 485명의 민간 보안 전문가가 참여했으며, 참여자 59명이 총 163건의 취약점을 발견하고 신고했다. KISA는 이 중 60건을 선정하고 28명에게 총 상금 2,555만 원을 포상했다. 대회 시작 26분만에 최초 신고가 접수되는 등 참여자 사이의 치열한 취약점 발굴 경쟁이 있었으며, 이 중 난이도나 파급도에 따라 상위 4명에 대해 시상을 진행했다.
이번 대회의 가장 큰 성과는 일상 점검에서 발견하지 못한 취약점을 다양한 민간 전문가와 함께 여러 시각에서 바라본 만큼, 평소 간과했던 점들을 찾을 수 있었다는 점이다. 특히 국내 정보보호 관련 최고 권위기관인 KISA 역시 이번 행사를 통해 내부 보안 현황을 재점검하고 내실을 다질 수 있는 계기가 됐다는 설명이다. 향후에는 민간 협력 기반 서비스 취약점 발굴 모델을 만들고 확산해, 신고포상제 공동 운영사와 함께 이러한 행사에 참여를 유도할 계획도 밝혔다.
KISA는 이와 함께 2018년도 신규 보안 취약점 신고포상제 운영 성과도 발표했다. 총 1,108건을 신고 받았고, 이중 총 581건에 대해 올해 한해 포상했다. 특히, 올해 신고 건수는 총 1,108건으로 전년 대비 36.7%, 포상건수는 41.3% 증가하는 등 매년 증가하는 추세다. KISA는 올해까지 총 15개 민간 업체를 취약점 신고 포상제 공동 운영사로 맞이해 민간 기업의 자발적 취약점 조치/관리를 유도하고 협력을 확대하고 있다. 네이버의 경우 단순한 소프트웨어 취약점뿐만 아니라 자사의 웹 서비스 취약점에 대해서도 포상을 진행한다.
KISA 김석환 원장 및 핵 더 키사, 보안 취약점 신고포상제 우수 수상자(출처: IT동아)
KISA 김석환 원장은 "작년 이맘때 쯤 핵 더 키사를 처음 얘기했다. 행사를 준비하면서 내외로 많은 우려와 반발이 있었고, 모험은 임기 마지막에 해보라는 얘기도 들었다. 그럼에도 불구하고 이를 추진한 결과 큰 성과를 얻었다. 가장 먼저 정보보호 수준을 평가하는 기관으로서 우리의 수준에 대한 객관적인 평가가 필요했으며, 국내에서도 사이버 공격에 대한 '수비수'뿐만 아니라 '공격수'를 육성해야 할 필요가 있다고 느꼈다"고 말했다.
또, "현재 소프트웨어에 집중된 취약점 신고를 웹 서비스 영역으로 확대해 국민이 체감할 수 있도록 질을 높이는 것은 물론, 해외로 이러한 사례를 수출하는 등 생태계를 키워갔으면 하는 바람이다. 내년에는 KISA뿐만 아니라 민간 기업이 이러한 행사를 개최하도록 유도할 계획이다"고 말했다.
동아닷컴 IT전문 이상우 기자 lswoo@donga.com
비즈N 탑기사
- 김숙 “내 건물서 거주+월세 수입 생활이 로망”
- “20억 받으면서 봉사라고?”…홍명보 감독 발언에 누리꾼 ‘부글’
- 세계적 유명 모델이 왜 삼성역·편의점에…“사랑해요 서울” 인증샷
- “사람 치아 나왔다” 5000원짜리 고기 월병 먹던 中여성 ‘경악’
- “모자로 안가려지네”…박보영, 청순한 미모로 힐링 여행
- 엄마 편의점 간 사이 ‘탕’…차에 둔 권총 만진 8살 사망
- 8시간 후 자수한 음주 뺑소니 가해자…한문철 “괘씸죄 적용해야”
- 교보생명, 광화문글판 가을편 새단장…윤동주 ‘자화상’
- 힐러리 “내가 못 깬 유리천장, 해리스가 깨뜨릴 것”
- ‘SNS 적극 활동’ 고현정…“너무 자주 올려 지겨우시실까봐 걱정”
- [머니 컨설팅]금리 인하기, 상업용 부동산 투자 주목해야
- 금값, 올들어 33% 치솟아… 내년 3000달러 넘을 수도
- [단독]배달주문 30% 늘때 수수료 3배로 뛰어… “배달영업 포기”
- 주도주 없는 증시, ‘경영권 분쟁’이 테마주로… 급등락 주의보
- “두바이 여행한다면 체크”…두바이 피트니스 챌린지
- 청력 손실, 치매 외 파킨슨병과도 밀접…보청기 착용하면 위험 ‘뚝’
- “오후 5시 영업팀 회의실 예약해줘”…카카오, 사내 AI 비서 ‘버디’ 공개
- “20억 받으면서 봉사라고?”…홍명보 감독 발언에 누리꾼 ‘부글’
- 일상생활 마비 손목 증후군, 당일 수술로 잡는다!
- [고준석의 실전투자]경매 후 소멸하지 않는 후순위 가처분 꼼꼼히 살펴야