지난해 보안 취약점 신고 포상금으로 2억5000여만원이 지급된 것으로 나타났다. 정부는 관련 포상제도를 확대할 방침이다.

2일 한국인터넷진흥원(KISA)에 따르면 보안 취약점 신고제에 따라 지급된 포상금은 작년 2억5190만원으로 전년(2억9885만원)보다 4695만원 줄었다. 하지만 신고 건수는 696건에서 810건으로 늘었다. 포상 건수도 382건에서 411건으로 증가했다.

‘버그 바운티(bug bounty)’로 불리는 보안 취약점 신고제는 소프트웨어나 서비스의 신규 취약점을 찾아낸 개인에게 보상하는 제도다. 국내에는 2006년 도입됐고 2012년부터 포상금이 지급되기 시작했다. KISA는 공동 운영사와 분기별로 포상금을 지급하고 있다. 포상금은 건당 5만~1000만원으로, 위험하고 파급 효과가 큰 취약점에 더 많은 포상금을 준다.

재원은 KISA가 정부 예산으로 지급하는 금액과 민간 기업인 공동 운영사가 주는 금액으로 나뉜다. 지난해 KISA 지급액은 1억9360만원으로 전년보다 6000만원 정도 줄었다.

반면 공동 운영사 지급액은 5830만원으로 1년 전에 비해 약 1000만원 늘었다. 공동 운영사들은 자사 취약점이 발견된 경우에만 포상금을 지급하고 있다. 공동 운영사는 한글과컴퓨터, 네이버, 카카오 등 14개 업체다. 공동 운영사들은 신고내용을 자사 제품을 개선하는 데 활용한다.

KISA는 공동 운영사를 늘리고 홈페이지 등으로 취약점 신고 대상을 확대할 방침이다. 다만 홈페이지는 정보통신망법에 따라 취약점 발굴 활동 자체가 불법으로 간주될 우려가 있다. KISA는 법적 논란을 피하기 위해 우선 KISA 홈페이지의 취약점을 찾는 모의해킹대회 ‘핵 더 키사(Hack the KISA)’를 이르면 10월에 개최할 예정이다.

KISA 관계자는 “취약점 공개는 보안을 개선할 기회”라며 “앞으로 기업 동의를 얻어 취약점 발굴이 필요한 서비스와 홈페이지를 선정해 취약점 발굴 모델을 확산할 계획”이라고 말했다.

배태웅 기자 btu104@hankyung.com