> 뉴스 > 뉴스 > 보안
  • 트위터
  • 페이스북
  • 구플러스
  • 네이버밴드
  • 카카오스토리
     
네이버, ‘버그 바운티’ 홀로서기…보안취약점 관리 역량 강화
국내 민간 기업 최초 CVE 직접 발급 등 독자적 보안 관리 역량 갖춰…안전한 서비스 기틀 마련
2019년 09월 03일 14:35:08 윤현기 기자 y1333@datanet.co.kr

[데이터넷] 네이버(대표 한성숙)는 한국인터넷진흥원(KISA)과 공동으로 진행한 약 6개월간의 자체 ‘버그 바운티’ 프로그램 시범 운영을 마치고, 9월 1일부터 독립적으로 운영하기 시작했다고 밝혔다.

보안취약점 신고포상제 ‘버그 바운티(Bug Bounty)’ 프로그램은 소프트웨어 보안취약점을 발견하고 제보한 이용자에게 포상금을 지급하는 제도로, 기업의 보안 담당자가 미처 생각하지 못한 이용자 관점의 보안취약점을 찾아내 개선할 수 있다는 장점이 있다.

국내에서는 2012년 KISA에서 프로그램을 최초 도입한 이후 17개 기업들과 공동으로 운영해 왔다. 네이버는 2015년 6월부터 KISA와 버그 바운티를 공동 운영해왔다.

특히 네이버는 공동 운영사 중 처음으로 버그 바운티 제보 범위를 ‘응용 프로그램’ 부문뿐만 아니라 ‘운영 서비스’ 부문까지 확대해 이용자가 쉽게 체감하는 영역의 보안 취약점까지 적극 대응해왔다.

또한 2018년에는 자사 소프트웨어 보안취약점에 대한 국제표준 관리 번호인 ‘CVE번호(Common Vulnerabilities and Exposures)’를 발급할 수 있는 권한 기관인 CNA(CVE Numbering Authorities)로 등록돼 체계적으로 보안 취약점을 관리하고 신속하게 대응할 수 있는 기업으로 자리매김했다. 국내에서 CNA로 등록된 곳은 KISA와 네이버 두 곳으로, 민간기업 중에서는 네이버가 유일하다.

네이버는 지난 3월부터 그간 쌓아온 버그 바운티 노하우와 개선 역량을 KISA로부터 인정받아 자체 버그 바운티 프로그램을 시범 운영해왔다. 9월부터는 약 6개월간의 안정적인 운영 경험을 바탕으로 네이버의 프로그램과 서비스에 집중한 버그 바운티 프로그램을 독립적으로 운영한다는 방침이다.

단, ‘응용 프로그램’ 부문의 취약 정보에 대해서는 이용자들의 피해 예방 및 2차 피해 확산 방지를 위해 협약 종료 이후에도 KISA와 공유한다.

이동근 KISA 침해사고분석단장은 “기업이 스스로 소프트웨어 보안성 강화 및 책임을 다한다는 측면에서 이번 네이버의 버그 바운티 독립 운영은 의미 있는 사례”라고 말했다.

조상현 네이버 Security 리더는 “KISA와의 공동 운영을 통해 축적된 노하우와 역량을 바탕으로 앞으로도 네이버의 기술, 서비스의 보안성 향상과 책임감 있는 개선을 위해 노력할 것”이라며, “발견된 취약점 및 보완 정도를 사내 모든 개발자에게 제시하고 버그 바운티 제보 대상 범위와 보상을 확대해 네이버의 보안성을 한층 강화할 수 있는 원동력이 되도록 하겠다”고 밝혔다.

윤현기 기자의 다른기사 보기  
ⓒ 데이터넷(http://www.datanet.co.kr) 무단전재 및 재배포금지 | 저작권문의  

     

인기기사

 
가장 많이 본 기사
인사·동정·부음
전체기사의견(0)  
 
   * 200자까지 쓰실 수 있습니다. (현재 0 byte/최대 400byte)
   * 욕설등 인신공격성 글은 삭제 합니다. [운영원칙]
전체기사의견(0)
사명: (주)화산미디어 | 주소: 서울시 강남구 강남대로 124길 26 유성빌딩 2층 | 전화: 070-8282-6180 | 팩스: 02-3446-6170
등록번호: 서울아03408 | 등록년월일: 2014년 11월 4일 | 발행년월일: 2003년 12월 17일 | 사업자등록번호: 211-88-24920
발행인/편집인: 정용달 | 통신판매업신고: 서울강남-01549호 | 개인정보관리 및 청소년보호 책임자: 박하석 | 호스팅 사업자: (주)아이네임즈
Copyright 2010 데이터넷. All rights reserved. mail to webmaster@datanet.co.kr