2주간 진행된 대회서 총 163건 취약점 발견…유효한 60건 선정 후 신고자 28명 포상

▲ ‘핵 더 키사’ 대회 포상 시상식에서 김석환 KISA 원장(좌)과 최우수상을 수상한 주유성 씨가 기념사진을 촬영하고 있다.

[아이티데일리] 한국인터넷진흥원(원장 김석환, 이하 KISA)이 실제 운영하는 홈페이지를 대상으로 일반인이 참여해 공개적으로 취약점을 찾는 ‘핵 더 키사(Hack the KISA)’ 대회 포상 시상식을 19일 KISA 서울청사에서 개최했다.

우리나라 공공기관 최초로 시행된 ‘핵 더 키사’ 개방형 보안 취약점 찾기 대회에는 총 485명의 민간 보안 전문가가 참여했으며, 참여자 중 59명이 총 163건의 취약점을 발견하여 신고했다. KISA는 유효한 보안 취약점 60건을 선정하고, 신고자 28명에 총 상금 2,555만 원을 포상했다.

취약점 선정 기준은 중복된 취약점의 경우 최초 신고자에 한해 포상을 원칙으로, 취약점 평가를 통해 건당 최소 5만 원에서 최대 1,000만 원까지 포상금을 결정했다.

이번 대회에서는 시작 26분 만에 최초 신고가 접수되는 등 적극적인 참여가 이뤄졌으며, 이날 시상식에서는 KISA는 파급도·난이도 등에 따라 높은 평가를 받은 상위 우수 신고자 4명에 대한 시상이 진행됐다. ‘핵 더 키사’ 대회 상위 우수 신고자는 최우수상에 주유성, 우수상에 장형욱, 장려상에 강우원, 이태양 등이 선정됐다.

우수상을 수상한 장형욱 씨는 “국내에서 실제 운영되는 홈페이지를 해킹할 수 있는 대회가 생겨 놀라웠다”며, “국내에서는 버그바운티에 대해 소극적인 모습을 보이고 있는데, 이번 대회를 필두로 향후 많은 기업들이 참여해 다양한 애플리케이션, 홈페이지에 대한 버그바운티가 활성화될 것으로 기대된다”고 말했다.

또한 ‘핵 더 키사’ 대회 포상 시상식 이외에도 KISA는 사이버 침해사고를 사전에 예방하고, 전문가들의 취약점 발굴을 장려하기 위해 운영한 ‘2018년도 신규 보안 취약점 신고 포상제’ 상위 우수 신고자 3명에 대한 시상식도 함께 진행했다. 수상자는 최우수상에 이영훈, 우수상에 백정운, 장려상에 구사무엘 등이다.

KISA는 2018년도 신규 보안 취약점 신고포상제 운영을 통해 1,108건을 신고 받았고, 이 중 총 581건에 대해 올해동안 포상금 3억 1,200만 원, 공동 운영사 포상 금액 5,800만 원이 지급됐다. 특히 올해 신고건수는 총 1,108건으로 전년 대비 36.7%, 포상건수는 41.3% 증가하는 등 매년 증가하는 추세를 보였다.

KISA는 올해까지 총 15개 민간 업체를 취약점 신고 포상제 공동 운영사로 맞이해 민간 기업의 자발적 취약점 조치 및 관리를 유도하고 협력을 확대하고 있다. 15개 기업은 ▲한글과컴퓨터 ▲네이버 ▲카카오 ▲네오위즈게임즈 ▲이스트시큐리티 ▲이니텍 ▲잉카인터넷 ▲LG전자 ▲지니언스 ▲카카오뱅크 ▲안랩 ▲하우리 ▲엑스블록시스템즈 ▲블록체인오에스 ▲글로스퍼 등이다.

보안 취약점 신고 포상제에서 최우수상을 수상한 이영훈 씨는 “취약점 신고 포상제를 통해 취약점을 발견하며 실력도 키우고 포상금도 받는 좋은 기회가 되고 있다”며, “앞으로도 많은 기업들이 참여해 제도가 더욱 활성화되기를 기대한다”고 말했다.

김석환 KISA 원장은 “이번 ‘핵 더 키사’ 대회는 ▲기업에 대한 보안 검증을 진행하는 KISA에 대한 객관적인 검증의 필요성 ▲국내 화이트해커만이 아닌 해커도 양성할 수 있는 방안 ▲버그바운티라는 비즈니스 모델 확산 등의 이유로 추진됐다”면서, “올해 163건의 취약점이 신고됐지만, 서비스가 중단되는 사례가 없었듯, 큰 문제없이 대회가 진행됐다. 내년에는 기업·기관들과 연계한 ‘핵 더 키사 & ???’ 대회를 추진할 계획”이라고 말했다.

한편 KISA는 사이버 침해사고 예방을 위해, 보안 취약점은 소프트웨어·시스템 개발·도입 단계부터 보안을 적용해 제거하고 시스템 등에 대한 정기적인 위험분석을 통해 보안수준을 전사적으로 통합 관리할 것을 권고하고 있다.

저작권자 © 아이티데일리 무단전재 및 재배포 금지