Hack The Korea 프로젝트


서울과학종합대학원 內 『산업보안연구회』에서는 버그바운트 제도 도입 및 활성화를 위해서 “Hack the Korea PJT” 연구합니다.

“Hack the Korea PJT” 수행은 산업보안MBA 전문인력, 국내 보안 최고 해커 전문가들이 함께 합니다.

[버그바운티 제도에 대한 보안단상]

fgfg

해질 녘 모든 사물이 붉게 물들고, 저 언덕 너머로 다가오는 실루엣이 내가 기르던 개인지, 나를 해치러 오는 늑대인지 분간할 수 없는 시간. 이때는 선도 악도 모두 붉을 뿐이다.

2007년 모방송사에서 인기리에 방영됐던 「개와 늑대의 시간」 마지막회에서 주인공 이수현(이준기 분)의 마지막 나래이션이다.

개와 늑대의 시간은 낮도 밤도 아닌 경계가 모호한 시간을 뜻한다. 해질 녘과 해뜰 녘 빛이 사라지는 황혼의 시간과 다시 빛이 스며들기 시작하는 박명(薄明)의 시간대를 말한다.

프랑스 남부 지역의 양치기들이 해질 녘 멀리 보이는 것이 기르는 개인지 늑대인지 구분하기 힘든 어둑어둑한 시간을 이르는 말에서 유래되었다고도 하고  친구인지 ,적인지, 진실인지, 위선인지 구별하기 힘든 모호한 순간의 의미로 문학적으로 표현되기도 한다.

내가 기르는 개인지 나를 헤치려 오는 늑대인지 구분이 어려운 모호함은 사실 일상에서 많이 발견된다.

공감이라는 아름다운 교감의 단어는 사람에 대한 이해와 배려의 디딤돌같이 아름다운 단어로 쓰이지만, 공감을 다른 용도로 사용한다면 사기와 같은 범죄의 접근 수단으로 활용된다. 어스름이 완전히 걷혀야 친구인지 적인지 드러나듯, 사기와 같은 범죄도 그 실체가 드러나야 모호함이 비로소 걷힌다.

선거철이면 난무하는 정치인들의 표심잡기용 공약에서 지역발전, 국가발전이라는 비전의 선포 근저엔 개인의 영달을 위한 욕망이 더 깊숙이 자리잡고 있는 것은 아닐까 하는 의심이, 진실과 거짓의 경계가 모호해 지는 개와 늑대의 시간과 닮았다.

이론과 분석은 사후적 판단이고 두려움 속에 경계를 넘나드는 것이 아닌 하나의 지점에 정지된 영역이다.

살아 숨쉬는 긴장감 넘치는 현실에선 매 순간 개와 늑대의 시간이다. 모호함의 연속이다. 특히, 수많은 거래와 투자결정을 해야 하는 사업가는 한 순간의 결정으로 회사와 개인의 삶이 송두리째 바뀔 수 있다. 사업가들은 수없이 맞닥뜨리는 만남과 제안 속에서 모호함을 극복하며 나아간다.

해커…일반인들에겐 아직도 그리 밝게 다가오는 단어는 아니다. IT의 어두운 이면에서 개인이나 기업, 더 나아가 국가기관을 침투, 비밀을 유출하고 악의적으로 이익을 좇는 이미지로 일반인들에게 각인되어 있다.  이런 이미지를 갖게 된 배경엔 사이버 범죄가 발생할 때마다 해커라는 이름이 언론에 많이 노출된 탓도 있을 것이다.

사실 해커는 정보보호 분야의 전방위에 필요한 핵심 자원이다. 미국과 중국 등 강대국들은 사이버세계를 장악하기 위해 해커를 양성하고 고도의 해킹프로그램을 만들기 위해 총력을 기울인다.

해커는 범죄의 유혹을 따르기도 하고 또 한편으로 사회안전을 보호하는 수호자의 길을 선택하기도 한다. 이렇게 빛과 어둠을 동시에 가진 해커가 세상을 안전하게 지키는 빛을 선택하게 하는 제도가 있다. 바로 ‘버그바운티(Bug bounty)’제도다.

버그바운티는 내부 보안 전문가가 아닌 외부에서 소프트웨어나 서비스에 대한  취약점을 찾아낸 사람에게 보상금을 지급하는 제도다.

구글, 페이스북 등 글로벌 기업들은  버그바운티를 통해 자사 제품과 서비스의 취약성이 드러나는 것을 두려워하지 않고  오히려 보안위협에 대한 대응능력 향상과 취약점을 개선하여 더 안전한 제품을 시장에 내놓아 이익창출의 기회로 삼고 있다.

그러나 우리나라에서는 버그바운티가 아직 바램에 불과한 정도다.  우리나라에서는 해당 기업에게 소프트웨어의 취약점을 찾아내 결과를 알려주었다가는 되레 민∙ 형사 문제로 발전될 수 있다고 해커들은 조심스럽게 말하기도 한다.

최근 미래창조위원회 소속 전병헌 의원이 IT 보안 의식을 강화하기 위해 취약점 신고포상제인 버그바운티를 적극 도입해야 한다는 취지의 정책제언집을 발간했다는 보도가 있다. 반가운 일이 아닐 수 없다.

소프트웨어의 역설계 문제, 약관위반 문제 그리고 지나친 경쟁심리의 작용으로 불법행위의 발생 가능성의 걱정 등으로 기업들의 반대의 목소리도 일리가 없는 것은 아니지만, 자사의 보안취약점 개선과 품질향상의 기회를 버그바운티제도를 통해 가질 수 도 있다.

버그바운티는 제도적으로  합법화로 나아가야 하며, 기업들은 버그바운티를 해당 기업의 사정이 허락하는 범위에서  적극적으로 운영하는 것이 기업의 이익에 도움이 될 것이라 본다. 누구나 자신의 재능을 자유롭게 펼칠 수 있는 기회를 주어야 한다.

해커들이 자유롭게 능력을 펼치고 활동할 수 있는 무대를 만들지 못한다면 자신의 공간을 잃은 해커들은 방패가 아닌 창을 선택할 지도 모른다. 개와 늑대의 시간은 새벽녘과 해질녘의 시간이다. 태양을 기꺼이 맞이하는 새벽녘을 택할 것인지 어둠을 기다리는 황혼을 선택할 것인지는 기업과 정부의 몫이다.

어둠과 빛이 교차하는 시간, 나에게 다가오는 저 그림자가 나의 행복과 우리사회의 안전을 지켜 줄 충직한 파수견으로 다가올 것인지, 안녕과 질서를 해할 늑대로 다가올 것인지는 그 시간을 맞이 할 우리의 준비가 얼마나 성숙되어 있는지에 달려있을 것이다.

 

광고

답글 남기기

댓글을 게시하려면 다음의 방법 중 하나를 사용하여 로그인 하세요:

WordPress.com 로고

WordPress.com의 계정을 사용하여 댓글을 남깁니다. 로그아웃 /  변경 )

Google photo

Google의 계정을 사용하여 댓글을 남깁니다. 로그아웃 /  변경 )

Twitter 사진

Twitter의 계정을 사용하여 댓글을 남깁니다. 로그아웃 /  변경 )

Facebook 사진

Facebook의 계정을 사용하여 댓글을 남깁니다. 로그아웃 /  변경 )

%s에 연결하는 중