[이부연기자] 구글 등 글로벌 IT 업체들이 수억원을 들여 해킹 대회를 열고 있다. 자신들의 서비스를 공격해 성공한 이들에게는 상금도 주어진다. 이른바 '버그 바운티(Bug bounty: 버그 발견자 보상)' 제도다. 이들은 해킹을 받아 보안 취약점이 드러난 것을 두려워하지 않고, 오히려 이를 적극 활용해 보안을 강화해나가고 있다.

러시아 모바일 메신저 업체 텔레그램은 총 상금 30만달러(약 3억 2천만원)을 건 보안 대회를 지난 4일 시작했다. 닉(Nick)과 폴(Paul)이라는 가상 이용자들의 대화를 가로채서 암호화를 풀어내는 것이 과제다.

이 대화를 해독하면 이메일 주소를 알 수 있고, 그 대화 내용 전부를 그 이메일 주로로 보내면 성공이다. 메일에는 어떻게 프로토콜을 뚫었는지 등 상세한 내용도 첨부해야 한다. 텔레그램은 올 초에도 해커들에게 2억원의 포상금을 내걸고 같은 대회를 열었는데 성공한 해커는 나오지 않았다.

텔레그램은 국내 메신저 카카오톡의 내용이 감청 혹은 검열 받을 수 있다는 가능성이 제기되면서 국내 사용자가 급격히 늘어났다. 텔레그램은 1초~1분, 1일, 1주일 등 사용자가 시간을 지정하면 그 이후에 대화 내용이 사라지는 '비밀 대화' 기능이 특징이다.

만약 이 해킹 대회를 통해 보안에 허점 발견되지 않는다면 텔레그램은 안전하다는 홍보 효과를 누리게 되고, 만약 보안에 허점이 발견된다면 이를 수정해 서비스를 더 강화할 수 있다.

◆구글, 페이스북 등 취약점 제보 '환영'

구글도 크롬 브라우저 해킹 대회를 4번이나 열었다. 'Pwnium4'이라는 이름으로 열리는 이 대회는, 해킹 성공을 뜻하는 인터넷 용어 'Pwn'과 크롬(Chrome)의 풀네임인 'Chromium'의 합성어다. 지난 3월 4번째 대회에서 구글은 이 대회에 최대 15만 달러를 걸었다.

지난 9월 국내에서 이 해킹 대회 수상자가 나왔다. 보안업체 라온시큐어 보안기술연구팀에 근무하는 해커 이정훈씨는 지난 6월 구글에 크롬에 5개 이상의 취약점을 알렸으며, 취약점 중 최고 수준의 등급을 받아 3천만원 가량의 상금을 받았다. 이는 역대 구글 보안 취약점 발견으로 부여한 상금 중 10위권 내에 드는 액수다.

이 연구원은 "화이트 해커로서 이러한 취약점을 발견하고 나면 뿌듯하고 실력도 기를 수 있기 때문에 해커들 사이에서는 버그 바운티 제도는 매우 좋은 기회"라면서 "국내에는 IT 기업들도 이런 대회를 통해 자사 서비스의 취약점을 발견해 보안하는 시도가 있어야 한다"고 설명했다.

페이스북, 마이크로소프트 등 글로벌 IT 기업들은 자신들의 프로그램의 취약점을 발견해내는 해커들에게 포상금을 지급해왔다.

페이스북은 취약점을 발견한 이들에게 최소 500달러를 지급하는데, 지난해에는 다른 이용자 계정을 변경 또는 삭제하는 취약점을 발견한 해커에게 1만2천500달러라는 거액을 지급해 눈길을 끌었다. 또한 해킹에 성공한 이들의 이름을 '페이스북 명예의 전당'에 올리게 되는데, 지난 2012년에는 한국의 한 고등학생이 750달러의 상금과 함께 여기에 이름을 올렸다.

현재 페이스북은 페이스북 광고 시스템의 보안 취약점 발견자에 기존 500달러인 상금을 2배인 1천달러까지 올려 지급하는 포상금 이벤트를 연말까지 진행 중이다.

마이크로소프트도 지난 9월 '마이크로소프트 온라인 서비스 버그 바운티 프로그램(Microsoft Online Services Bug Bounty Program)'을 발표했다. 마이크로소프트 오피스 프로그램 보안 취약점을 발견할 경우 최소 500달러를 지급한다는 것이다. 마이크로소프트는 인터넷 익스플로러 11 베타 서비스 당시에도 취약점 제보자에게 포상한 바 있다.

국내 기업 중에는 지난 2012년 삼성전자가 스마트TV 보안 취약점 발견자에게 포상금을 주는 제도를 실시했다. 하지만 스마트TV에만 국한돼 있었고, 당시 9명이 1인당 1천달러(100만원) 가량의 포상을 받았다. 주요 포털이나 소프트웨어 업체 중 이를 실시한 업체는 없는 실정이다. 한국인터넷진흥원(KISA)만이 지난 2012년부터 '소프트웨어 신규 보안 취약점 신고 포상제'를 실시하고 있다.

한 보안 업체 관계자는 "해외처럼 기업들이 취약점 신고 포상제를 늘리는 것이 곧 보안을 강화하는 것은 아니다"라면서도 "하지만 이런 제도를 실시하면서 기업 홍보 효과도 누릴 수 있고, 이를 통해 중대한 보안 취약성을 발견할 수 있기 때문에 현재보다는 늘려갈 필요가 있다"고 했다.

/이부연기자 boo@inews24.com

아이뉴스24