한국인터넷진흥원(KISA)의 개방형 보안 취약점 점검 대회 ‘핵 더 키사(Hack the KISA)’에 485명이 참가해 59명이 163건의 취약점을 발견해 신고했다. KISA는 유효한 보안 취약점 60건을 선정하고 28명에게 2555만원을 포상했다.
이 대회는 미국 국방부 주관 국방부 웹사이트 취약점 점검 대회인 ‘핵 더 펜타곤(Hak the Pentagon)’을 참고한 것이다. 핵 더 펜타곤은 믹구 국방부가 관할하는 웹사이트 5곳에서 취약점을 찾는 대회로 약 1410명이 참가해 이벤트 시작 후 13분만에 최초 취약점이 등록됐으며 1189개의 취약점이 신고됐다. 이 중 138개 취약점에 대해 58명에게 7만5000달러(약 8400만원)이 수여됐다.
핵 더 키사는 지난달 15일부터 28일까지 진행됐으며, 대회 시작 26분만에 최초 취약점이 접수됐다. 이번 대회 최고 포상금은 400만원이었으며, 19일 시상식을 진행했다. 이번에 수상한 사람은 ▲최우수상 주유성 ▲우수상 장형욱 ▲장려상 강우원·이태양 등이다.
김석환 KISA 원장은 “이번 대회는 KISA가 정보보호 전문기관으로서 공격자 관점에서 검증받는 한편, 보안 취약점 신고 포상제(버그바운티) 산업화를 활성화한다는 목적을 갖고 진행했다”며 “내년에는 다른 공공기관 및 민간기업과 함께 공동개최하는 등 현재보다 확대된 방향으로 개최되도록 노력할 것”이라고 말했다.
운영 중 홈페이지 취약점 점검해야
KISA가 이번 대회를 개최한 목적 중 하나가 보안 취약점 신고 포상제 활성화를 위한 것이다. 이 제도에는 한글과컴퓨터, 네이버, 카카오, 네오위즈게임즈, 이스트시큐리티, 이니텍, 잉카인터넷, LG전자, 지니언스, 카카오뱅크, 안랩, 하우리, 엑스블록시스템즈, 블록체인오에스, 글로스퍼 등이 참여하고 있다.
대부분의 버그바운티는 소프트웨어의 보안 취약점을 찾는데 중점을 두고 있지만, 취약점 공격에 주로 악용되는 홈페이지/서비스 분야에서는 제도를 운영하는 곳이 많지 않다. 네이버가 유일하게 서비스까지 취약점 점검을 허용하고 있다.
KISA는 운영 중인 홈페이지에 대해 공개적으로 취약점을 검증하는 대회를 통해 홈페이지 취약점 점검 서비스 활성화를 유도한다는 방침을 밝혔다.
이동근 KISA 침해사고분석단장은 “KISA는 보안 분야 전문기관으로 엄격한 보안 프로세스에 따라 보안 점검을 상시적으로 진행하고 있다. 그럼에도 불구하고 이번 대회를 통해 보안 취약점이 다수 발견됐다는 사실은 매우 의미 있는 일”이라며 “보안 취약점은 단일 기관에서만 관리해서 해결할 수 있는 문제가 아니다. 보안 전문가와 함께 객관적으로 취약점을 찾아 제거함으로써 공격받을 가능성을 줄이는 것이 중요하다”고 강조했다.
보안 취약점 신고 포상제, 581건 포상
이와함께 KISA는 ‘2018년도 신규 보안 취약점 신고 포상제’ 상위 우수 신고자 3명에 대한 시상식도 함께 개최했다. 수상자는 ▲최우수상 이영훈 ▲우수상 백정운 ▲장려상 구사무엘이다.
KISA는 2018년도 신규 보안 취약점 신고포상제 운영을 통해 1108건을 신고 받았고, 이중 총 581건에 대해 올해 한해 포상했다. 포상금은 공동운영사 포상금액 5800만원을 포함해 총 3억1200만원이다.
올해 신고건수는 총 1108건으로 전년 대비 36.7%, 포상건수는 41.3% 증가하는 등 매년 증가하는 추세다.
기업·개인 대상 IoT 취약점 점검
한편 KISA는 IoT 취약점을 악용하는 공격 피해를 줄이기 위해 내년부터 기업/개인을 대상으로 IoT 취약점을 점검하는 서비스를 시작한다.
KISA는 내년 상반기 중 IoT 취약점 점검 서비스를 위한 테스트 환경을 구축하고 시범운영을 시작하며, 하반기에는 동의를 받은 기업과 개인을 대상으로 점검을 수행한다.
이동근 KISA 침해사고분석단장은 “인터넷에 연결된 기기를 검색해주는 포털 쇼단을 통해 취약점이 있는 IoT 기기를 쉽게 찾아 공격할 수 있다. KISA의 IoT 취약점 점검 서비스는 동의를 받은 기업/개인으로부터 사용중인 인터넷 연결 기기의 취약점을 점검하고 대응방안을 안내하는 서비스를 제공해 보다 안전한 IoT 이용 환경이 될 수 있도록 지원할 것”이라고 말했다.
KISA가 운영하는 보안 취약점 신고 포상제 집계에 따르면 올해 신고된 IoT 취약점은 387건으로 공유기, NAS가 IoT 취약점 중 86.6%를 차지했다. 이처럼 가정과 기업에서 사용하는 IoT 기기의 취약점으로 인한 보안사고를 줄이기 위해 KISA는 기업/개인의 동의를 얻어 기업이나 다중이용 서비스, 개인 및 가정 내 IoT 기기 취약점을 파악하고 조치할 수 있도록 할 계획이다.
