KISA와 공동운영 통해 자체 노하우 획득··서비스 단위까지 확장
[테크월드=이건한 기자] 네이버가 6개월간의 자체 '버그 바운티' 프로그램 시범 운영을 마치고 9월 1일부터 KISA와의 버그 바운티 공동 운영을 종료, 독립적인 운영에 나선다.
보안취약점 신고포상제를 뜻하는 ‘버그 바운티(Bug Bounty)’는 소프트웨어 보안취약점을 발견하고 제보한 이용자에게 포상금을 지급하는 제도다. 기업의 보안 담당자가 미처 생각하지 못한 이용자 관점의 보안취약점을 찾아내 개선할 수 있다는 장점이 있어 글로벌 대기업 등에서 널리 운영되고 있다.
국내에서는 2012년 한국인터넷진흥원(KISA)에서 프로그램을 최초 도입한 이후, 17개 기업과 공동으로 운영해 왔다. 네이버는 2015년 6월부터 KISA와 버그 바운티를 공동 운영해왔다.
특히, 네이버는 공동 운영사 중 최초로 버그 바운티 제보 범위를 ‘응용 프로그램’부문 뿐만 아니라 ‘운영 서비스’부문까지 확대해 이용자가 쉽게 체감하는 영역의 보안 취약점까지 적극적으로 대응해왔다.
2018년에는 자사 SW 보안 취약점에 대한 국제표준 관리 번호인 ‘CVE번호(Common Vulnerabilities and Exposures)’를 발급할 수 있는 권한 기관인 CNA(CVE Numbering Authorities)로 등록되어, 체계적으로 보안 취약점을 관리하고 신속하게 대응할 수 있는 기업이 됐다.
네이버는 지난 3월부터 그간 쌓아온 버그 바운티 노하우와 개선 역량을 KISA로부터 인정받아 자체 버그 바운티 프로그램을 시범 운영해왔다. 9월부터는 약 6개월간의 안정적인 운영 경험을 바탕으로 네이버의 프로그램과 서비스에 집중한 버그 바운티 프로그램을 독립적으로 운영한다는 방침이다.
단, ‘응용 프로그램’부문의 취약 정보에 대해서는 이용자들의 피해 예방, 2차 피해 확산 방지를 위해 협약 종료 이후에도 KISA와 공유한다.
이동근 KISA 침해사고분석 단장은 네이버의 버그 바운티 독립 운영에 대해 “기업이 스스로 소프트웨어 보안성 강화하고 책임을 다한다는 측면에서 이번 네이버의 버그 바운티 독립 운영은 의미 있는 사례”라며 의의를 밝혔다.
그래도 삭제하시겠습니까?