인터넷 보안 취약점 신고 포상제도 시행 한달, 결과는?

[재경일보 김윤식 기자] 한국인터넷진흥원(KISA)이 지난달 8일 도입한 보안 취약점 신고 포상제도가 시행 한 달 만에 자리를 잡아가고 있는 것으로 보인다.

KISA는 7일 지난달 8일 PC와 SW에서 보안상 취약점을 발견해 신고하면 최대 500만원의 포상금을 지급하는 신고포상제를 도입한 이후 한달동안 접수 사례가 12건으로 집계됐다고 밝혔다.

이는 2010년과 2011년 연간 신고건수가 40여건(월 약 4건), 60여건(월 약 5건)이라는 점을 고려하면 2~3배가량 늘어난 수치다.

시행 기간에 비해 신고 건수도 늘었지만 신고 내용의 질 자체도 과거보다 눈에 띄게 나아졌다는 게 KISA측 평가다.

과거에는 특정 홈페이지를 이용하다가 발견한 취약점이 신고 건수의 대부분을 차지한 데 반해 최근에는 워드프로세서 소프트웨어 등 PC나 서버에서 구동되는 응용 프로그램의 취약점이 주를 이루고 있다는 것.

KISA의 윤재병 해킹대응팀장은 "그동안은 40~60건이 접수돼도 중 실질적으로 도움이 되는 제보는 10건 내외였지만 지난달 접수된 내용은 대부분 유의미했다"고 설명했다.

윤 팀장은 신고 대상의 시장점유율이나 위험도 등을 평가해 포상금을 차등 지급토폭 한 게 주효했다고 해석했다.

KISA는 분기별로 평가위원회를 열어 우수 신고자와 포상금 수준을 결정할 방침이다.

평가위원회는 신고 대상의 시장점유율과 위험도, 취약점의 동작 원리, 구성의 난이도, 취약점 테스트 환경 등에 대한 구체적인 기술 등을 종합해 평가한다.

신고는 한국인터넷진흥원 인터넷침해대응센터 홈페이지(www.krcert.or.kr)로 하면 되고 취약점을 보완하는 패치가 개발돼 보안공지문을 게시할 때 신고자의 이름도 함께 기재해준다.