KT, 롯데카드 등 잇단 해킹 여파로 국내 기업들의 사이버 보안 경각심이 최고조에 달한 가운데 기업들이 자발적으로 취약점을 찾아 해결하도록 유도하는 버그바운티 제도의 활성화가 시급하다는 지적이 나왔다.

‘버그바운티(Bug bounty)’는 기업이나 기관이 자사의 제품, 웹사이트, 소프트웨어의 보안 취약점을 찾아낸 사람에게 포상금을 지급하는 제도다. 한국인터넷진흥원(KISA)은 보안 취약점을 악용한 침해사고를 사전에 예방하고, 전문가들의 신규 취약점 발굴을 장려하기 위해 2012년 10월부터 ‘보안 취약점 신고포상제(버그바운티)’를 운영하고 있다.

국회 과학기술정보방송통신위원회 소속 한민수 의원(더불어민주당, 서울 강북구을)이 KISA로부터 제출받은 자료에 따르면, 최근 5년간(2020년부터 2025년 상반기) 기업의 취약점 신고 포상금 총 16억여 원 중 14억 4천여 만원을 KISA가 지급한 것으로 드러났다. 이는 전체 포상금의 90%에 달하는 수치다. <표1>

현행 포상금 제도는 기업과 정부(KISA)가 예산을 분담하는데 공동운영사로 참여하는 기업에 한해서만 자사 취약점 신고 포상금을 기업이 부담하고, 나머지 기업에 대한 포상금은 KISA가 정부 예산으로 지급하는 구조다.

KISA는 상시로 보안 취약점을 신고받고 분기별로 교수, 취약점 전문가, 소프트웨어 사업자 등이 참여하는 평가위원회를 구성해 취약점을 평가한 후 발생할 수 있는 침해사고의 범위 정도, 악용의 용이성 등을 고려해 5만 원 이상 1천만 원 이하의 범위에서 포상금을 지급하고 있다.

KISA가 정부의 지원을 발판삼아 민간의 참여를 확산시키기 위해 2012년부터 제도를 운영했지만 13년간 신고포상제도에 공동운영사로 참여한 기업은 33곳에 불과했다. 그중에서도 네이버, 카카오, 삼성SDS, LG전자, 지니언스 5곳만이 독립 운영으로 전환한 상황인 것으로 나타났다. 

한민수 의원은 “버그바운티는 기업의 보안취약점으로 인해 돌이킬 수 없는 상황이 발생하는 것을 사전에 방지하는 것이 가장 큰 목적”이라며, “미국, EU 등 해외에서는 이미 버그바운티가 활성화되어 있는데, 국내 기업들은 여전히 자발적 보안 투자 의지가 부족한 실정이다.”고 지적했다.

또, “우리 기업들이 보안 취약점을 스스로 찾고 보완하는데 투자를 아끼지 않아야 한다.”고 덧붙였다.