작년 11월 국내 한 숙박예약 앱(응용프로그램)에 보안 취약점이 있다는 제보가 한국인터넷진흥원(KISA)에 들어왔다. KISA는 바로 앱 운영사에 통보했다. 하지만 취약점을 보완하는 데 걸린 시간만 약 한 달. 그나마 모바일 앱이 아닌 웹사이트는 점검 대상에서 빠졌다. 지난 3월 앱 회원 4000여명에게 ‘OO님 지난 △월△일 □모텔에서 황홀한 X하셨나요’와 같은 낯뜨거운 문자가 발송됐다. 91만명의 회원 정보와 모텔 등 숙박 이용 데이터 323만건이 웹사이트의 보안 취약점을 공략한 악성 해커에게 고스란히 넘어간 것이다.

◆‘보안취약’ 신고해도 늑장대응 일수

여전한 국내 기업들의 ‘보안불감증’ 탓에 개인정보 유출 등의 사고가 끊이지 않고 있다. 정부가 2012년 도입한 보안취약점 신고포상제(버그바운티)도 시행 5년이 지났지만 겉돌고 있다. 21일 KISA에 따르면 버그바운티에 참여하는 국내 기업은 삼성 네이버 카카오 네오위즈 한글과컴퓨터 등 5곳에 불과하다. 포상금은 건당 최대 500만원으로, 억대 포상금을 내건 구글 애플 마이크로소프트(MS) 등 글로벌 기업의 10%도 안 된다. 2013년 179건이던 신고 건수는 지난해 696건으로 4배가량으로 늘었지만 1000여건을 신고받은 구글 하나에도 미치지 못했다.

화이트해커가 애써 취약점을 찾아 신고해도 수수방관하는 기업이 태반이다. 연초 한 보안카메라 업체는 개인정보 유출이나 피싱에 취약하다는 KISA의 권고를 받고도 개선을 거부했다. “당장 드러난 문제가 없다”는 주장이었다. KISA 관계자는 “최대 두 달 안에 조치를 취해달라고 요청하지만 비용 문제를 들어 차일피일 미루는 경우가 많다”고 전했다.

‘해커=범죄자’란 고정관념도 여전하다. 국내 한 화이트해커는 지난해 5월 대형 인터넷 쇼핑몰의 웹사이트에서 주소(URL)만 살짝 바꿔 다른 사람의 개인정보를 볼 수 있는 취약점을 알려줬다가 해당 쇼핑몰로부터 “경찰에 신고하겠다”는 적반하장 격의 협박을 받았다. 그로부터 얼마 안 지나 이 쇼핑몰은 북한 해커의 공격을 받아 고객정보가 대량으로 유출됐다.

◆낮은 인식에 디지털 암시장 ‘쑥쑥’

국내 기업의 보안 취약점이 해외 암시장으로 흘러드는 경향도 나타나고 있다. 화이트해커로서는 성실하게 신고하는 것보다 해외 암시장에 내다 파는 게 유리하기 때문이다. 해킹 정보가 거래되는 디지털 암시장인 ‘다크웹’은 인터넷을 사용하지만 암호화 접속과 인터넷주소(IP) 세탁을 통해 익명성이 보장된다. 경찰청에 따르면 국내에서만 하루 6000~1만명이 다크웹에 접속한다. 러시아 보안업체 카스퍼스키랩에 따르면 작년 한 해 다크웹 사이트인 ‘엑스데딕’에서 거래된 국내 해킹 서버가 741개에 달했다. 주요 기업의 웹사이트나 소프트웨어의 보안 취약점은 다크웹의 주요 상품이다. KISA에 신고하면 포상금이 200만~300만원에 불과하지만 이곳에선 억대 수익이 가능하다. 경찰 관계자는 “이렇게 중국 북한 등으로 넘어간 정보가 훗날 대규모 해킹 공격으로 돌아온다”고 설명했다.

실력을 갖춘 국내 화이트해커도 대부분 해외에서 활동한다. 기태현 라온시큐어 화이트햇센터장은 “미국 모의 해킹 대회의 상금은 평균 5000만원인데 한국은 그의 20% 선에 불과하다”며 “몇 날 밤을 새운 보상이 반의 반도 안 되는데 누가 한국에서 일하려 하겠느냐”고 반문했다.

■ 버그바운티(Bug Bounty)

bug bounty. 보안취약점 신고제. 기업의 서비스 및 제품을 해킹해 취약점을 찾은 해커에게 포상금을 주는 제도. 구글 애플 마이크로소프트(MS) 페이스북 등 글로벌 기업 대부분이 시행 중이다. 국내선 삼성 네이버 카카오 네오위즈 한글과컴퓨터 등 5곳이 버그바운티를 실시하고 있다.

황정환 기자 jung@hankyung.com