[비즈니스포스트] 국내 가상화폐와 핀테크 업체들이 보안 강화를 위해 버그바운티를 적극적으로 도입하고 있다.  

버그바운티란 기업이 제공하는 상품이나 서비스의 온라인 보안 취약점을 발견한 화이트해커(모의 해킹이나 취약점 점검에 전문적인 보안전문가)에게 포상금을 지급하는 프로그램을 말한다.
  

23일 가상화폐와 핀테크 업계의 말을 종합하면 국내 최대 가상화폐 거래소 빗썸과 핀테크기업 비바리퍼블리카가 버그바운티를 도입할 준비를 하고 있다. 

버그바운티는 1995년 미국의 인터넷브라우저 개발사인 넷스케이프의 자렛 리들롱가퍼 기술지원 엔지니어가 자사의 ‘네비게이터2.0베타’ 프로그램의 취약점을 찾기 위해 해커들에게 현금을 제공하며 처음 시작됐다. 

그 뒤 2000년대 초반 프랑스 보안회사 아이디펜스, 미국 자유 소프트웨어 커뮤니티 모질라 등이 버그바운티 프로그램을 운용했다. 

현재 해외에서는 구글, 엘리시아, 휴렛팩커드, 엔키 등의 기업이 버그바운티를 도입해 운용하고 있으며 국내에서는 2012년 한국인터넷진흥원(KISA)이 ‘취약점 신고포상제’라는 명칭으로 도입한 뒤 금융보안원, 삼성SDS, 네이버 등이 활용하고 있다. 

구글은 올해까지 버그바운티를 11년째 운영하고 있다. 처음 버그바운티를 도입한 2011년에는 약 25건의 취약 리포트를 받았지만 2021년에는 1만1055개의 취약 리포트를 받을 정도로 확대했다. 

구글이 취약 리포트를 제출한 연구자에게 지급한 보상금은 현재까지 모두 2900만 달러(약 409억 원)가 넘는 것으로 알려졌다. 

실물자산과 가상자산을 연결하는 탈중앙 프로젝트 엘리시아 테스트넷을 출시한 엘리시아도 2021년부터 버그바운티를 실시간으로 운용하고 있다. 이용자에게 신고를 받고 해당 취약 부분을 보강하는 방식이다. 

취약 부분의 심각성에 따라 100달러(약 14만 원)부터 10만 달러(약 1억4100만 원)어치 엘 코인 가상화폐를 지급한다. 

국내에서는 비바리퍼블리카, 빗썸 등 핀테크와 가상화폐업계, 네이버 등 플랫폼 기업에서 버그바운티를 적극 활용하려는 움직임을 보이고 있으며 화이트해커와 이들 기업을 연결하는 회사들도 생겨나고 있다.  

비바리퍼블리카는 21일 사전 등록한 참가자를 통해 버그바운티 챌린지를 진행하기로 했다. 30일까지 참가자를 받아 10월4일부터 행사를 진행한다. 해마다 정기적으로 운용할 계획을 세운 것으로 알려졌다. 

비바리퍼블리카는 이번 행사를 통해 운영하고 있는 금융플랫폼 토스를 포함해 계열사인 토스뱅크, 토스증권, 토스페이먼츠 등의 보안 취약점을 점검한다. 취약 리포트를 받아 평가를 거쳐 건당 최대 3천만 원의 포상금을 지급하기로 했다. 

빗썸은 19일 국내 정보보호 전문 업체 시큐아이 및 버그바운티 플랫폼 운영 회사 파운더갭과 컨소시엄을 구축해 버그바운티 제도를 본격 도입하기로 했다. 

빗썸은 버그바운티를 통해 가상화폐 거래소 플랫폼 서비스의 보안 취약점을 개선할 계획을 세웠다. 우선 버그바운티 프로그램을 적용해 효과를 지켜본 뒤 향후 지속할지를 결정하기로 했다. 

국내 핀테크와 가상화폐업계에서 버그바운티 도입에 많은 관심을 보이고 있는 것은 최근 전 세계적으로 급증하고 있는 해킹사고 때문이기도 하다.  

앞서 21일 영국 가상화폐 거래업체 윈터뮤트는 해킹으로 약 2300억 원 규모의 코인을 도난당했다. 

9일에는 미국 법무부가 북한과 연계한 것으로 추정되는 해킹 조직이 빼돌린 가상화폐 415억 원어치를 회수하기도 했다. 

핀테크와 가상화폐 업체는 실체를 가진 자산 없이 온라인으로 거래하는 기록 자산만을 보관하고 운용하고 있어 해킹으로 도난사고 등이 발생하면 존속 자체가 위협받을 수도 있다.  

네이버는 2019년부터 버그바운티를 도입했다. 

네이버에서 운영하는 네이버 페이, 블로그, 카페, 영화, 쇼핑, 웹툰 등을 대상으로 취약점을 찾아주면 포상을 제공한다. 취약 리포트에 따라 300달러(약 42만 원)에서 2만 달러(약 2800만 원)의 포상금을 수여한다. 

네트워크 접근제어 솔루션 기업 지니언스도 3월부터 국내 보안기업 최초로 버그바운티를 시행하고 있다. 포상금 지급은 분기단위(1월, 4월, 7월, 10월)로 운영되고 접수된 취약점은 보안 취약점 국제 표준을 기반으로 평가해 건당 최대 포상금 2500달러를 제공한다.

국내 버그바운티를 도입하고자 하는 기업이 늘자 버그바운티에 활용할 해커를 연결해주는 기업들도 생겨나고 있다. 

삼성SDS의 사내 벤처기업 해킹존은 자사에 등록한 수백 명의 해커에게 버그바운티를 요청한 기업을 연결하는 일을 하고 있다. 

국내 버그바운티 플랫폼 바인더갭도 1천 명이 넘는 보안전문가를 통해 기업의 취약점을 점검하고 성과에 따른 비용을 산정한다. 24시간 내내 지속적 점검을 제공하는 것을 내걸고 있다. 

다만 버그바운티를 도입한 것으로 보안 문제를 모두 해결할 수 있는 것은 아니다.

버그바운티 자체의 단점 때문에 오히려 보안 문제에 노출될 수 있다는 문제도 발생할 수 있다.

이와함께 버그바운티 운용으로 오히려 불필요한 트래픽이 발생해 회사 시스템 네트워크에 과부하를 줄 수 있다.

버그바운티를 운용하는 시간에 실제 악성 공격이 들어오면 화이트해커가 시도하는 버그바운티와 악성해커의 실제 공격을 구분할 수 없게 된다는 문제점도 있다. 

가장 위험한 것은 버그바운티 연구원이 오히려 악성 공격자 측에 프로그램과 취약 리포트를 판매하는 일이 발생하거나 버그바운티 운용과 관련한 정보가 사전에 유출돼 악용될 수 있다는 점이다. 

올해 7월 글로벌 사회관계망서비스(SNS) 업체 트위터에서 약 540만 개에 달하는 이용자 정보가 탈취당하는 사건이 발생했는데 관련 해커가 버그바운티 프로그램을 통해 알게 된 취약점을 트위터가 보강하기 전에 미리 공격한 것으로 알려졌다. 조윤호 기자