KT, 롯데카드 등 잇단 해킹 여파로 국내 기업들의 사이버 보안 경각심이 최고조에 달한 가운데 기업들이 자발적으로 취약점을 찾아 해결하도록 유도하는 버그바운티 제도의 활성화가 시급하다.

‘버그바운티(Bug bounty)’는 기업이나 기관이 자사의 제품, 웹사이트, 소프트웨어의 보안 취약점을 찾아낸 사람에게 포상금을 지급하는 제도다. 한국인터넷진흥원(KISA)은 보안 취약점을 악용한 침해사고를 예방하고, 전문가들의 신규 취약점 발굴을 장려하기 위해 2012년 10월부터 ‘보안 취약점 신고포상제(버그바운티)’를 운영하고 있다.

국회 과학기술정보방송통신위원회 소속 한민수 의원(더불어민주당)이 KISA로부터 제출받은 자료에 따르면, 2025년부터 올해 상반기까지 최근 5년간 기업의 취약점 신고 포상금 총 16억여원 중 14억4000여만원을 KISA가 지급한 것으로 드러났다. 이는 전체 포상금의 90%에 달하는 금액이다.

현행 포상금 제도는 기업과 KISA가 예산을 분담하는데 공동운영사로 참여하는 기업에 한해서만 자사 취약점 신고 포상금을 기업이 부담하고, 나머지 기업에 대한 포상금은 KISA가 정부 예산으로 지급하는 구조다.

KISA는 상시로 보안 취약점을 신고받고 분기별로 교수, 취약점 전문가, 소프트웨어 사업자 등이 참여하는 평가위원회를 구성해 취약점을 평가한 후 발생할 수 있는 침해사고의 범위 정도, 악용의 용이성 등을 고려해 5만원 이상 1000만원 이하의 범위에서 포상금을 지급하고 있다.

KISA가 정부의 지원을 발판 삼아 민간의 참여를 확산시키기 위해 2012년부터 제도를 운영했지만, 13년간 신고포상제도에 공동운영사로 참여한 기업은 33곳에 불과했다. 그중에서도 네이버, 카카오, 삼성SDS, LG전자, 지니언스 5곳만이 독립 운영으로 전환한 상황인 것으로 나타났다.

한민수 의원은 “버그바운티는 기업의 보안취약점으로 인해 돌이킬 수 없는 상황이 발생하는 것을 사전에 방지하는 것이 가장 큰 목적”이라며 “미국, EU 등 해외에서는 이미 버그바운티가 활성화되어 있는데, 국내 기업들은 여전히 자발적 보안 투자 의지가 부족한 실정”이라고 지적했다. 이어 “우리 기업들이 보안 취약점을 스스로 찾고 보완하는데 투자를 아끼지 않아야 한다”고 덧붙였다.