의원실의 국정감사자료
[전병헌의원실-20151008][국감45]취약한 보안의식 제고 위한 ‘버그바운티’제도 필요
의원실
2015-10-12 08:40:21
49
49
“생활중심정치 1번지”
국감자료.45
국회의원 전병헌
미래창조과학방송통신위원회 / 서울 동작구(갑)
2015. 10. 8. (목)
bhjun777.blog.me / 국회의원회관 810호 / Tel. 788-2038, Fax.788-0342
취약한 보안의식 제고 위한 ‘버그바운티’제도 필요
- 전병헌 의원, 관련 자료집 발간하며 한국인터넷진흥원과 민간기업에 한국형‘버그바운티’(취약점 신고포상제) 적극도입 제안-
전병헌 의원 “IT강국이라는 것이 민망할 정도로 정보보안 인식수준 낮은 상태”
“세계적 IT기업들이 적극적으로 활용하는 ‘버그바운티’제도 배워야”
❍ 국회 미래창조과학방송통신위원회 소속 전병헌 의원(새정치민주연합)이 오늘 국정감사 정책제언집 <취약한 보안의식 제고를 위한 버그바운티 제도의 적극 도입 제안>을 발간하며, 정보보안 강화를 위한 한국인터넷진흥원의 ‘취약점 신고포상제’가 향후 나아가야할 정책적 방안에 대해 제언함.
❍ ‘버그바운티’(Bug Bounty)는 내부 보안 전문가가 아닌 외부에서 서비스에 대한 버그 등의 취약점을 찾아낸 사람에게 보상금을 지급하는 제도를 말함. 초창기 버그바운티 제도는 자사의 취약점을 알려주는 사람에게 티셔츠 등 작은 기념품 등을 선물하는 정도에서 출발했으나, 사이버보안에 대한 중요성이 부각된 이래 거액의 보상금을 주는 등의 제도가 확립되었음.
❍ 세계적인 IT기업인 마이크로소프트, 구글, 페이스북 등에서는 이미 이러한 제도가 굉장히 활성화되어 있어, 버그바운티 제도를 통해 제보받은 자사의 취약점을 지속적으로 보안 업데이트 등을 통해 보완하고 있고, 누적 보상금 지급규모 또한 수십억원 규모에 달함. 하지만 국내의 경우 자발적으로 버그바운티를 시행하고 있는 대기업은 아직 삼성전자가 유일하며, 그것 또한 스마트TV에만 한정되어 있고 보상금 규모가 작아 유명무실한 상황임.
❍ 인터넷진흥원은 취약점신고 홈페이지를 운영하며 자체적으로 S/W신규 보안 취약점 신고포상제를 시행하고 있고 일정 성과를 거두고 있는 것으로 평가되지만, 아직 신고 포상금 규모가 최소 30만원에서 최고 500만원 수준에 머물고 있고 공동운영사가 2개사(한글과컴퓨터·네이버)에 불과해 더욱 더 적극적인 운영이 필요함.
구분
2012년
2013년
2014년
2015년6월
신고건수
23건
179건
274건
195건
포상건수
14건
89건
177건
96건
KISA 포상금액
1,970만원
1억685만원
1억5,290만원
8,110만원
공동운영사 포상금액
0원
0원
1,140만원
960만원
전체 포상금액
1,970만원
1억685만원
1억6,430만원
9,060만원
※자료: 한국인터넷진흥원
❍ 전병헌 의원은 “작년 1억건이 넘는 개인정보 유출로 전국민을 충격에 빠뜨린 카드사 개인정보 유출사건을 비롯해 크고 작은 개인정보 유출사고가 끊이지 않고 있는데, 정부 규제는 약하고 정보보안에 대한 인식 수준도 별로 변한 것이 없다”라며, “유출사고가 발생해도 해커의 책임으로만 돌릴 뿐 보안조치를 제대로 못한 기업의 책임을 묻지 않는 상황에서, 어느 기업이 막대한 돈을 들여 보안에 투자하겠나”라고 지적함.
❍ 이어 전 의원은 “보안 수준만 놓고볼때는 우리나라를 ‘IT강국’이라 부르기도 민망할 정도로 문제가 많은데, 글로벌 IT업계를 선도하는 기업들이 정보보안 문제를 어떻게 해결하고 있는지 들여다보고 이들이 적극적으로 활용하고 있는 ‘버그바운티’제도에 대해 적극적으로 배워 도입해야 한다”며, “버그바운티 제도야 말로 회사 내부인력으로만 해결하기 힘든 어려운 보안문제를 ‘집단지성’의 힘을 빌어 해결할수 있는 창조적인 인재활용 제도”라고 말함.
❍ 아울러 “물론 민간기업의 자발적 참여가 가장 중요하지만, 기업의 문화나 인식이 저절로 바뀌는 것을 마냥 기다리기만 할 수는 없는 것”이라며, “정부 차원에서 버그바운티를 적극적으로 제도화하고, 대기업들은 물론 S/W분야별 대표기업, 취약점 신고가 많은 기업들을 대상으로 홍보책을 마련하여, 더 많은 기업들이 이에 참여할 수 있도록 특단의 조치를 취해야 할 것”이라 밝힘.
국감자료.45
국회의원 전병헌
미래창조과학방송통신위원회 / 서울 동작구(갑)
2015. 10. 8. (목)
bhjun777.blog.me / 국회의원회관 810호 / Tel. 788-2038, Fax.788-0342
취약한 보안의식 제고 위한 ‘버그바운티’제도 필요
- 전병헌 의원, 관련 자료집 발간하며 한국인터넷진흥원과 민간기업에 한국형‘버그바운티’(취약점 신고포상제) 적극도입 제안-
전병헌 의원 “IT강국이라는 것이 민망할 정도로 정보보안 인식수준 낮은 상태”
“세계적 IT기업들이 적극적으로 활용하는 ‘버그바운티’제도 배워야”
❍ 국회 미래창조과학방송통신위원회 소속 전병헌 의원(새정치민주연합)이 오늘 국정감사 정책제언집 <취약한 보안의식 제고를 위한 버그바운티 제도의 적극 도입 제안>을 발간하며, 정보보안 강화를 위한 한국인터넷진흥원의 ‘취약점 신고포상제’가 향후 나아가야할 정책적 방안에 대해 제언함.
❍ ‘버그바운티’(Bug Bounty)는 내부 보안 전문가가 아닌 외부에서 서비스에 대한 버그 등의 취약점을 찾아낸 사람에게 보상금을 지급하는 제도를 말함. 초창기 버그바운티 제도는 자사의 취약점을 알려주는 사람에게 티셔츠 등 작은 기념품 등을 선물하는 정도에서 출발했으나, 사이버보안에 대한 중요성이 부각된 이래 거액의 보상금을 주는 등의 제도가 확립되었음.
❍ 세계적인 IT기업인 마이크로소프트, 구글, 페이스북 등에서는 이미 이러한 제도가 굉장히 활성화되어 있어, 버그바운티 제도를 통해 제보받은 자사의 취약점을 지속적으로 보안 업데이트 등을 통해 보완하고 있고, 누적 보상금 지급규모 또한 수십억원 규모에 달함. 하지만 국내의 경우 자발적으로 버그바운티를 시행하고 있는 대기업은 아직 삼성전자가 유일하며, 그것 또한 스마트TV에만 한정되어 있고 보상금 규모가 작아 유명무실한 상황임.
❍ 인터넷진흥원은 취약점신고 홈페이지를 운영하며 자체적으로 S/W신규 보안 취약점 신고포상제를 시행하고 있고 일정 성과를 거두고 있는 것으로 평가되지만, 아직 신고 포상금 규모가 최소 30만원에서 최고 500만원 수준에 머물고 있고 공동운영사가 2개사(한글과컴퓨터·네이버)에 불과해 더욱 더 적극적인 운영이 필요함.
구분
2012년
2013년
2014년
2015년6월
신고건수
23건
179건
274건
195건
포상건수
14건
89건
177건
96건
KISA 포상금액
1,970만원
1억685만원
1억5,290만원
8,110만원
공동운영사 포상금액
0원
0원
1,140만원
960만원
전체 포상금액
1,970만원
1억685만원
1억6,430만원
9,060만원
※자료: 한국인터넷진흥원
❍ 전병헌 의원은 “작년 1억건이 넘는 개인정보 유출로 전국민을 충격에 빠뜨린 카드사 개인정보 유출사건을 비롯해 크고 작은 개인정보 유출사고가 끊이지 않고 있는데, 정부 규제는 약하고 정보보안에 대한 인식 수준도 별로 변한 것이 없다”라며, “유출사고가 발생해도 해커의 책임으로만 돌릴 뿐 보안조치를 제대로 못한 기업의 책임을 묻지 않는 상황에서, 어느 기업이 막대한 돈을 들여 보안에 투자하겠나”라고 지적함.
❍ 이어 전 의원은 “보안 수준만 놓고볼때는 우리나라를 ‘IT강국’이라 부르기도 민망할 정도로 문제가 많은데, 글로벌 IT업계를 선도하는 기업들이 정보보안 문제를 어떻게 해결하고 있는지 들여다보고 이들이 적극적으로 활용하고 있는 ‘버그바운티’제도에 대해 적극적으로 배워 도입해야 한다”며, “버그바운티 제도야 말로 회사 내부인력으로만 해결하기 힘든 어려운 보안문제를 ‘집단지성’의 힘을 빌어 해결할수 있는 창조적인 인재활용 제도”라고 말함.
❍ 아울러 “물론 민간기업의 자발적 참여가 가장 중요하지만, 기업의 문화나 인식이 저절로 바뀌는 것을 마냥 기다리기만 할 수는 없는 것”이라며, “정부 차원에서 버그바운티를 적극적으로 제도화하고, 대기업들은 물론 S/W분야별 대표기업, 취약점 신고가 많은 기업들을 대상으로 홍보책을 마련하여, 더 많은 기업들이 이에 참여할 수 있도록 특단의 조치를 취해야 할 것”이라 밝힘.