온라인결제서비스 페이팔(PayPal)이 자신들의 웹사이트에 취약점을 찾아주는 해커들에게 포상을 하겠다고 발표했다.
 
페이팔 CISO 마이클 바랫은 “버그바운티 프로그램을 운영해 우리의 버그를 찾아주는 연구원에게 기꺼이 현금 지급을 하겠다”고 자신의 블로그를 통해 밝혔다.
 
페이팔은 버그 리포트 카테고리를 다음과 같이 정했다.
 
-XSS (Cross Site Scripting),
-CSRF (Cross Site Request Forgery),
-SQL Injection or
-Authentication Bypass
 
해커들은 리포트 포상으로 현금을 받기 위해 페이팔 계정을 만들어야 한다.
 
현재 많은 보안연구가들이 자신들의 취약점을 찾아주면 보상을 해주는 구글, 페이스북, 트위터, 마이크로소프트, 이베이, 페이팔 그리고 다른 몇 개 기업들을 대상으로 다양한 연구를 하고 있다. 그들은 보안 연구가로서 스킬을 키울 수 있고 한편으로 돈도 벌 수 있는 기회를 가지게 됐다.
 
모 영국 해커는 지난 2주 동안 페이팔 메인사이트와 모바일 페이지에서 10개 보안취약점을 리포트했다. 페이팔 스탭들은 이를 진지하게 받아 들였고 포상도 해 주었다.
 
◇취약점을 알려주면 한국 기업들은=한국 기업들은 어떨까. 최근 데일리시큐에서 상당수의 취약점 발표 기사를 게재한 바 있다. 모 업체는 취약점을 구매하겠다는 적극적인 의사를 보이기도 했지만 아직 취약점을 구매하는데 있어 사내 프로세스도 정립이 안되어 있고 어떤 취약점에 대해 어떤 식으로 보상을 하겠다는 정책이 만들어지지 않은 상황이라 여러모로 힘들어 하는 모습을 보였다.
 
또 다른 기업은 법적 소송을 불사하겠다는 기업도 있다. 기사를 내리지 않으면 법으로 대응하겠다는 식이다. 이런 기업을 대상으로 데일리시큐는 법으로 상대해줄 충분한 의지를 가지고 있다.
 
또 어떤 기업은 취약점 제보자를 수소문으로 찾아내 기자를 상대하기 보다는 제보자를 협박해 기사 수정이나 삭제를 유도하는 경우도 있었다.
 
몇몇 기업은 왜 담당자에게 미리 말도 해 주지 않고 기사를 올리냐고 따지는 경우도 많다. 이럴때는 “고등학생이 제보를 해왔는데 고등학생이 취약점을 찾아낼 정도면 거의 보안에 신경을 쓰지 않은 것 아니냐”고 다시 따져 묻는다.
 
그럼 그 담당자는 격앙된 목소리로 “우리도 열심히 해 왔다. 보안에는 100%가 없지 않느냐”고 다시 기자에게 반론을 제기한다. 그럼 기자는 “보안담당자가 몇 명 있는지, 보안예산이 얼마나 되는지, 보안점검을 어떻게 하고 있는지, 취약점 점검을 짧은 텀으로 주기적으로 하고 있는지” 등을 물어보면 담당자는 거친 숨소리와 함께 그냥 전화를 끊어버리는 일도 많다.
 
한마디로 취약점을 찾아준 제보자에 대한 예의도 없고 고마움도 없는 상황이다. 일부 기업에서는 진심으로 받아들이고 고마워하고 제보자와 미팅을 잡아달라거나 컨설팅을 받아보고 싶다고 제안하는 기업 보안담당자도 물론 있다. 하지만 이런 담당자는 소수에 불과한 것이 한국의 실정이다.
 
해커나 보안연구가는 취약점을 찾아 해당 기업에 제보를 하고 기업은 사정에 맞게 제보자에게 보상을 해줘야 한다. 또 보안패치가 이루어진 이후 제보자의 크래딧을 보장해 주기 위해 데일리시큐 등에 기사로 공개되는 프로세스가 정착되길 희망한다.
 
취약점을 찾아준 제보자에게 포상을 못할 망정 협박하고 불이익을 주거나 법적 대응을 하는 행태는 사라져야 한다. 기업들은 해커들과 적극적으로 소통하고 그들의 도움을 받는 것이 충분한 가치가 있다는 것을 느껴야 한다. 그리고 시스템적으로 해커들의 의견을 받아 들일 수 있는 루트를 만드는 것이 선행되어야 한다. 특히 해커들을 이용한다고 생각하면 안된다. 서로 도움을 주고 받는 대등한 관계로 인식하는 의식 개선이 가장 중요한 부분이다.   
 
데일리시큐 길민권 기자 mkgil@dailysecu.com