KISA가 IoT 기기 버그바운티를 시작하는 이유

IP 카메라, 공유기 등 IoT 기기 이용 침해사고 사전 예방 추진

[보안뉴스 원병철 기자] 모든 분야가 다 그렇지만, IT 분야 특히 소프트웨어에서는 만든 사람도 모르는 문제점, 이른바 ‘버그(Bug)’가 존재하기 마련이다. 이 때문에 기업들은 프로그램을 다 만들고도 이 버그를 찾는데 며칠 심지어 몇 달까지 시간이 소요된다. 하지만 기자도 자기가 쓴 글의 오타는 잘못 보는 것처럼 기업들도 자사 프로그램의 버그는 못 찾는 경우가 많아 게임사처럼 ‘베타 테스트’를 진행하는 경우도 있다.

최근에는 이런 버그를 찾는 것에 ‘현상금’을 걸고 참여를 유도하는 일도 생겼다. 바로 ‘보안 취약점 신고 포상제’, 일명 ‘버그바운티(Bug Bounty)’다. 버그바운티는 소프트웨어 제작사가 자사 소프트웨어의 ‘버그’를 찾는 사람에게 ‘상금’을 주는 것. 한국인터넷진흥원(KISA)과 미래창조과학부가 사물인터넷(IoT, Internet of Things) 보안 취약점을 악용한 공격의 사전 예방을 위해 ‘IoT 취약점 집중 신고 기간’, 즉 버그바운티를 11월 동안 운영한다고 밝혔다.

▲ 연도별 IoT 보안취약점 신고 포상 건수

KISA와 미래부가 버그바운티를 시작한 이유는 지난 10월, 미국에서 IP 카메라, DVR, 온도조절장치 등 악성코드에 감염된 IoT 장비로 인해 웹호스팅업체 딘(Dyn)이 DDoS 공격을 받아 트위터, CNN, 뉴욕타임즈 등 다수 웹사이트에 장시간 접속 장애가 발생했기 때문이다.

‘SW 신규 취약점 신고포상제’ 일환으로 추진되는 IoT 취약점 집중 신고 기간의 신고대상은 IP 카메라, 공유기, 스마트 콘트롤러 등 IoT 기기와 IoT용 스마트폰 앱 관련 취약점이다. 그 중 최신 버전의 펌웨어에 영향을 줄 수 있는 신규 보안 취약점을 평가하여 우수 신고 사례에 대해 30만원에서 500만원까지의 포상금을 지급한다. KISA는 제조사에 신고된 보안 취약점 조치를 요청할 계획이다.

신고접수에 대한 자세한 사항은 한국인터넷진흥원 인터넷침해대응센터 홈페이지(www.krcert.or.kr)에서 확인할 수 있으며, 신고 페이지는 11월 30일까지 운영된다.

한편, 한국인터넷진흥원은 IoT 기기를 이용한 침해사고 예방을 위해 IoT 정보보호 해커톤을 개최하고 IoT 실증성 관련 보안성 점검을 추진하고 있으며, 오는 12월엔 IP 카메라, 홈컨트롤러, 도어락 등 IoT 기기에 대한 보안가이드도 발표할 예정이다.

한국인터넷진흥원 이동연 취약점분석팀장은 “침해사고 예방을 위해 보안 취약점 신고뿐만 아니라 비밀번호 설정, 펌웨어 업데이트 등 이용자들의 협조도 필요하다”고 당부했다.
[원병철 기자(boanone@boannews.com)]

내년 회사에 꼭 도입하고 싶은 보안 솔루션 또는 플랫폼은 무엇인가요?
	XDR
	EDR
	AI 보안
	제로트러스트
	공급망 보안 체계(SBOM)
	클라우드 보안 솔루션
	기타(댓글로)