신고포상제는 상용 소프트웨어를 타깃으로 하는 제로데이(Zero-day) 공격에 대한 대응을 위해 운영되는 제도로, 소프트웨어의 보안 취약점을 발견한 사람에게 포상금을 지급함으로써 개발업체에서 미처 발견하지 못한 취약점을 사전에 발견해 조치할 수 있도록 한다.

구글, MS, 페이스북 등의 글로벌 기업들도 자사 제품 및 서비스의 취약점 미리 발굴, 보안을 강화하기 위해 ‘버그바운티(Bug Bounty)’라는 제도를 도입해 운영하고 있다. 그러나 국내 기업의 경우 취약점을 제보하면 기업에 대한 간섭 또는 공격행위로 간주하거나, 자사 이미지 실추 등의 이유로 제도 도입에 소극적인 편이었다.

하우리는 KISA와 함께 신고포상제 운영에 참여하는 12번째 기업으로 등록됐고, 하우리에서 개발한 최신 버전의 SW에 영향을 줄 수 있는 취약점이 신고 대상이다. 신고된 취약점은 KISA에서 1차 검증 및 평가를 한 후 외부 평가위원회를 통해 2차 평가를 진행하고, 평가결과에 따라 포상금 결정 및 지급을 수행한다. 외부 평가위원회는 교수, 취약점 전문가, SW제조사 등 5명으로 구성해 투명성을 제공한다.

김의탁 하우리 연구소장은 “최근 들어 정보보호업체 및 제품에 대한 공격이 증가하고 있어, 내부적으로 3중 망분리와 보안의 날 행사, SW 취약점 분석 등을 수행해 왔다”며, “이번 SW 보안취약점 신고포상제를 추가 운영함으로써 보다 입체적이고 강력한 보안 대응을 수행할 수 있게 됐다”고 말했다.