KISA “신규 취약점 신고 포상제로 신고 늘어”

아주경제 이한선 기자= 한국인터넷진흥원(KISA)은 신규 취약점 신고 포상제 시행 6개월 만에 신고 건수가 3배 급증했다고 15일 밝혔다.

통상 6개월에 20건 미만이었던 신고 건수는 지난해 10월 포상제 시행 후 60건으로 3배 급증했다.

신규 취약점이란 소프트웨어에서 해커가 악용할 수 있는 허점을 의미하고 해커가 이를 악용해 공격하는 것을 제로데이 공격이라고 부른다.

제로데이 공격은 공식적인 조치 방법이 나오기 전으로 초기 대응이 어렵다고 알려져 있어 취약점을 사전에 발견하고 보완하는 것이 최선의 방법이다.

KISA는 2006년부터 취약점 신고를 받아온데 이어 지난해 10월부터 우수한 취약점 수집을 확대하기 위해 우수 신규 취약점에 대해 포상금을 지급하는 신규 취약점 신고 포상제를 도입해 운영하고 있다.

접수된 취약점은 국내 소프트웨어의 취약점이 대부분으로, 홈페이지 구축 소프트웨어, PC용 소프트웨어 및 모바일 앱 등으로 파급도가 높은 취약점이 다수 포함됐다.

취약점 평가는 보안 전문가.관련 업계 종사자 등으로 구성된 평가 위원단에 의해 분기별로 실시되고 모든 신규 취약점 신고자에게 평가 결과를 통보하고 있다.

KISA는 인터넷침해대응센터를 통해 취약점 신고가 접수되면 자체적으로 검증 및 분석 작업을 실시한다.

분석된 취약점은 해당 업체에 전달해 보안 업데이트를 개발하게 된다.

신규 취약점에 대한 보안 업데이트는 경우에 따라 1일에서 두 달까지 소요된다.

홈페이지 구축 소프트웨어 취약점의 경우 취약점 개발자에 의해 파악 및 조치가 즉시 가능하나 PC용 소프트웨어나 모바일 앱의 경우 모든 과정이 완료되기까지는 2주에서 한 달 정도가 걸린다.

이는 PC용 소프트웨어나 모바일 앱의 경우 정밀한 테스트가 필요하기 때문이다.

취약점 신고제에 대한 개발사의 반응도 긍정적이지만 국내 기업의 경우 국외보다 취약점 발굴 및 공개에 대해 부정적으로 생각하는 경우가 많아 인식 전환의 노력이 필요하다.

박순태 KISA 해킹대응팀장은 “신규 취약점을 악용한 공격이 지속적으로 증가하고 있어 취약점 신고의 역할이 더욱 중요해 지고 있다”며 “앞으로도 KISA는 포상 규모 확대.기금 마련 등 다양한 방안을 마련해 취약점 신고 활성화를 위해 노력하겠다”고 밝혔다.

신규 취약점 신고는 KISA의 인터넷침해대응센터 홈페이지(www.krcert.or.kr)를 통해 접수할 수 있다.