지니언스가 국내 보안업계 최초로 소프트웨어(SW) 보안취약점 신고포상제를 독립 운영한다. 자사 네트워크접근제어(NAC) 솔루션에서 보안취약점을 발견한 제보자에게 포상금을 지급해 기업 사용자 환경의 위협 대비 태세를 강화한다.

지니언스는 앞서 국내에서 정부가 주도하고 여러 민간 기업들이 참여하는 방식으로 운영된 신고포상제도에 참여해 왔지만, 더 안전한 제품과 서비스를 제공하기 위해 자체 '버그바운티(Bug Bounty)' 프로그램을 시행한다고 30일 밝혔다. 버그바운티 프로그램은 IT제품과 서비스에서 취약점을 발견한 외부인에게 포상하는 제도로, 글로벌 IT업계에선 민간기업 중심으로 보편화돼 있다.

이동범 지니언스 대표는 "버그바운티 프로그램은 보안취약점으로 돌이킬 수 없는 상황이 발생하는 것을 사전에 방지하는 것이 가장 큰 목적"이라면서 "버그바운티 프로그램을 운영함으로써 제품과 서비스의 안정성 확보는 물론, 적극적인 보안 이슈에 선제적으로 대처해 차세대 보안 시장을 선도하는 기업 이미지를 강화하는 데에 큰 도움이 될 것으로 기대한다"고 말했다.

지니언스 버그바운티 프로그램은 '지니안NAC'과 '클라우드NAC CSM 서비스'를 대상으로 한다. 외부의 보안전문가가 두 솔루션에서 보안취약점을 발견해 지니언스에 신고를 접수하고 그 내용을 국제표준(CVSS 3.1)에 따라 평가·검증받으면 지니언스로부터 건당 최대 2500달러의 포상금을 받을 수 있다. 지니언스는 달마다 취약점을 평가하고 분기 첫 달마다 포상금을 지급한다고 밝혔다.

그간 국내에선 정부가 국가사이버안보센터(NCSC)와 한국인터넷진흥원(KISA)을 중심으로 버그바운티 프로그램을 운영해 왔다. KISA에서 운영 중인 '보안취약점 신고포상제'에 지니언스, 네이버, 카카오, 카카오뱅크, 한글과컴퓨터그룹, 네오위즈, 이스트시큐리티, 이니텍, 잉카인터넷, 안랩, 하우리, 지란지교시큐리티, 삼성SDS, LG전자, 현대차, 기아 등 21곳이 공동운영사로 참여하고 있다.

국내에서는 민간 기업이 자체 버그바운티 프로그램을 시행하는 사례가 드문 편이다. IT업계에서는 네이버가 지난 2019년 9월부터 독립적으로 버그바운티 프로그램을 운영하기 시작했다. 네이버는 SW보안취약점뿐아니라 다수 이용자에 영향을 줄 수 있는 온라인 기반의 운영서비스 영역에 대한 보안취약점 또한 접수한다. 이와 달리 지니언스는 운영서비스 보안취약점을 접수·보상하지 않는다.

지니언스 관계자는 "홈페이지 등 현재 운영 중인 서비스의 취약점은 불법적인 해킹 우려와 관련법에 따른 검증권한 부재로 평가와 보상에서 제외된다"면서 "무작위 대입공격, 서비스 거부 공격, 제3자의 계정이나 데이터에 접근, 허가 되지 않은 서버 침투 시도 등 취약점 분석 과정에서 비즈니스, 서비스, 사용자들에게 피해를 끼치는 경우도 포상대상에서 제외된다"고 설명했다.