KISA, IoT 보안 취약점 신고기간 운영

건별 최고 500만원 신고 포상금 지급·제조사에는 보안패치 요청

가 +
가 -

버그바운티(SW 신규 취약점 신고포상제)를 형상화한 그림으로 모니터에 버그(벌레)가 있고 이를 돋보기로 확대해 보고 있는 이미지.

한국인터넷진흥원(KISA)이 8월1일부터 2개월 간 ‘사물인터넷(IoT) 보안취약점 집중 신고기간’을 운영한다.

IoT 보안취약점 집중 신고기간은 ‘SW 신규 취약점 신고포상제(버그바운티버그바운티(Bug Bounty)란 이를 허락한 회사의 제품이나 사이트 등에서 보안 취약점을 발견하면 이를 해당 회사에 통보해 포상금을 받는 제도다. 구글, 페이스북, 마이크로소프트 등 글로벌 IT 기업에서는 버그바운티 제도가 굉장히 활발하게 운영되고 있다. 누적 보상금이 수십억원에 달할 정도로 보상금에 대한 투자 또한 아끼지 않고 있다. 그들이 버그바운티 제도를 지속적으로 유지하는 이유는 해당 제도를 통해 신고받은 취약점을 신속하게 보안 업데이트하여 피해를 예방할 수 있기 때문이다. (출처: 이스트시큐리티 알약 블로그).close)’의 일환으로, 최근 실생활에서 자주 사용되는 스마트홈 기기, 드론, 인공지능(AI) 스피커 등 최신 버전 소프트웨어에 영향을 줄 수 있는 신규 보안취약점을 신고대상으로 한다. 국내외에 거주하는 한국인이라면 누구나 참여할 수 있다.

KISA는 집중 신고기간 동안 들어온 신고에 대해 영향도를 분석·평가해 관련 제조사에는 취약점 해결조치를 요청 처리할 방침이다. 또 신고 당시 보안 업데이트가 나오지 않은 소프트웨어 취약점 중 실제 공격에 악용될 경우 다수의 국민에게 피해를 줄 수 있는 건에 대해서는 30만원에서 500만원까지 신고 포상금을 지급할 예정이다.

신고·접수에 대한 자세한 사항은 보호나라 홈페이지에서 확인할 수 있다.

이동근 KISA 침해사고분석단장은 “KISA는 IoT 침해사고 예방을 위한 버그바운티 활성화 이외에도 IoT 기기 보안시험 확대, 2017 해킹방어대회에 추진되는 IoT 보안취약점 찾기 행사 등 국민이 체감할 수 있도록 IoT 융합보안 내재화에 앞장서겠다”라고 말했다.