기업의 보안 취약점 발견하면
상금받는 버그바운티 플랫폼
美 등 글로벌 기업 적극 도입
국내선 예산부족에 언감생심
상금받는 버그바운티 플랫폼
美 등 글로벌 기업 적극 도입
국내선 예산부족에 언감생심
![해커 이미지. [사진출처=픽사베이]](https://thumb.zumst.com/780x0/https://static.news.zumst.com/images/18/2025/12/20/02e190f4b0b24892bba22f6900c8cc60.jpg) |
해커 이미지. [사진출처=픽사베이] |
2012년 미국에서 설립된 버그바운티(Bug Bounty) 플랫폼 해커원(HackerOne)에선 2025년 10월 기준 전세계 240만 명의 화이트 해커들이 활동 중이다. 버그바운티 플랫폼이란, 고객사가 해커원 플랫폼에 자사의 보안 취약점을 발견 시 포상금을 지급하겠다는 내용의 프로젝트를 공시하면 화이트 해커들이 프로젝트에 참여해 취약점을 찾아 상금을 받는 구조다. 상금 규모는 수백 달러 수준에서 100만 달러 이상의 거액까지 다양하다.
해커원의 고객사는 2024년 기준 전세계 2300곳에 달한다. 버그바운티 플랫폼으로서는 세계 최대 규모다. 최근 글로벌 기업들은 막대한 금액을 해커들에게 ‘투자’하며 보안 수준을 끌어올리고 있다. 대표적으로 페이팔은 누적 1290만 달러를 지급했다. 우버는 421만 달러, 틱톡은 318만 달러, X(옛 트위터)는 171만 달러 등이다.
현재 해커원에 참여한 한국 기업은 없다. 업계에서는 한국이 아직 버그바운티 플랫폼에 대한 이해도가 낮을 뿐더러, 기업들의 보안 예산마저 여의치 않기 때문이다.
존 아데오 해커원 부사장은 최근 매일경제와 인터뷰에서 “한국 기업들은 전통적으로 모의해킹이나 컴플라이언스 중심의 감사만을 수행해왔기 때문에 버그바운티 플랫폼 참여가 없었다”고 말했다.
실제로 지금까지 K보안 사업은 해킹을 예방하고 개인정보를 암호화하는 정보보호 솔루션이나 일정 기간 동안 정해진 범위 안에서 전문가가 취약점을 점검하는 모의해킹 서비스에 국한돼 있었다.
2003년 설립된 보안 기업 유넷시스템즈는 최근 해커원과 협업해 ‘한국형 버그바운티 플랫폼’ 사업에 뛰어들어 성과에 이목이 쏠리고 있다. 안기동 유넷시스템즈 대표는 “버그바운티 플랫폼을 통해 기업은 예상치 못한 공격 시나리오나 신규 위협을 빠르게 포착할 수 있고, 발견된 취약점의 보상과 재검증이 동시에 이룰 수 있어 보안을 획기적으로 개선할 것으로 기대된다”고 말했다.
중소기업의 경우 예산 부족으로 보안에 투자하기는 더욱 어렵다. 익명을 요구한 한 IT 중소기업 대표는 “보안 예산이 부족해 한달에 몇 만원 내고 쓰는 구독형 보안 솔루션 정도만 이용하고 있다”고 말했다.
대기업 상황은 그나마 낫다. 대표적으로 삼성전자는 2017년부터 버그바운티 프로그램을 운영한 바 있으며, 총 60억원 상당을 화이트 해커와 보안 전문가들에게 지급했다.
공공분야에서는 버그바운티 사업에 일부가 참여하고 있다. 한국인터넷진흥원(KISA)은 2012년 10월부터 ‘보안 취약점 신고포상제’를 운영하고 있다. 현행 포상금 제도는 기업과 KISA가 예산을 분담하는데, 공동운영사로 참여하는 기업에 한해서만 자사 취약점 신고 포상금을 기업이 부담하고, 나머지 기업에 대한 포상금은 KISA가 정부 예산으로 지급한다.
KISA는 상시로 보안 취약점을 신고받고 교수, 취약점 전문가 등이 참여하는 평가위원회를 구성해 취약점을 평가한 후, 발생 가능한 침해사고 범위 등을 고려해 1000만원 이하 포상금을 지급한다. KISA에 따르면, 13년간 신고포상제도에 공동운영사로 참여한 기업은 33곳 정도다.
업계 한 관계자는 “정부는 기업 규모와 산업 특성에 맞게 운영 범위·보상 체계·검증 프로세스를 설계하는 것이 중요하다”고 말했다.
[ⓒ 매일경제 & mk.co.kr, 무단 전재, 재배포 및 AI학습 이용 금지]
이 기사의 카테고리는 언론사의 분류를 따릅니다.