버그바운티

버그(bug)의 원래 의미는 벌레인데, 컴퓨터나 IT 영역에서는 오류나 오동작의 의미로 쓰이고 있다. 초기의 컴퓨터는 방 하나를 차지할 정도로 덩치가 컸는데, 간혹 릴레이 접점 사이에 나방이 끼어 오류를 유발한 경우가 있었다. 이런 연유로 나방(버그)은 오류가 된 것이다. 그리고 벌레를 제거하는 것을 디버깅(debugging)이라고 하는데, 디버깅은 컴퓨터나 IT 영역에서는 오류를 제거한다는 의미로 쓰이고 있다.

한편 버그바운티(bug bounty)라는 것은 기업 등이 자사 서비스나 SW 제품의 보안성 강화를 위해 취약점을 찾아 신고해준 사람에게 포상금을 지급하는 프로그램이다. 우리나라에서는 생소한 단어이지만, 구글, 페이스북, MS, 야후, 이베이, 모질라, 페이팔 등의 기업에서는 이미 제공되고 있는 포상 프로그램이다. 포상금도 적지 않다. 페이스북의 경우 1인당 평균 2204달러(약 228만원)를 지급하였고, 2013년에는 총 150만 달러(약 16억원)을 지급하였다고 한다.

악성 해커들의 공격 때문에 인터넷의 안전은 사이트를 운영하는 기업이나 SW 제품을 공급하는 기업들만이 지켜내기엔 너무나 많은 위협이 존재하는 상태가 되었다. 이런 상황에서 버그바운티 프로그램은 기업과 이용자가 함께 힘을 합하여 안전한 인터넷 환경을 만들어가는 데 크게 기여하고 있다.

현재 한국인터넷진흥원(KISA)은 2012년 10월부터 'S/W 신규 보안 취약점 신고 포상제'를 운영하고 있는데, 이 역시 버그바운티에 속한다. 하지만 이 제도 외에 우리나라 기업이 운영하는 버그바운티 프로그램은 찾아보기가 쉽지 않다. 아직까지 국내 기업들은 회사나 서비스의 보안 허점이 외부에 알려지는 것을 꺼려하고 감추는데 급급하기 때문이다.

버그바운티 프로그램은 보안영역의 크라우드 소싱(crowd sourcing)이라 할 수 있고, 최근 발표된 미래부의 'IoT 정보보호 로드맵'에도 버그바운티가 포함되어 있는 것만 보더라도 앞으로 기업들이 지향해 가야 할 제도로 보인다.

* 법무법인 민후 김경환 대표변호사 작성, 법률신문(2014. 11. 3.) 기고.