2018년 4분기 KISA모의해킹 진행하다.
페이지 정보
작성자 게시판관리자 작성일18-09-03 09:41 조회9,544회 댓글0건관련링크
본문
“KISA를 해킹하라”
2018.09.02 13:22:54 / 최민지 cmj@ddaily.co.kr
- 관련기사
- 간편한 소셜로그인, 학력·경력·정치관까지 ‘개인정보’ 줄줄 샌다
- 농협은행 EDR 추진, 금융권 최대 규모 평가…“총 10만대 예상”
- KISA, 한·중·일 사이버공격 대응 협력 강화 추진
- “韓 보안발전 저해하는 셋, 규제·인력·조직”
[디지털데일리 최민지기자] 한국인터넷진흥원(원장 김석환, KISA)은 ‘핵 더 키사(Hack the KISA)’ 시범사업을 통해 서비스 취약점 발굴 모델을 확산한다고 2일 밝혔다.
이와 관련 KISA는 올해 4분기 KISA 홈페이지를 대상으로 모의해킹을 진행하고 이를 평가 후 시상하는 서비스 취약점 신고 포상제를 추진한다. 포상 대상 홈페이지는 참가신청 마감 후 참가자에게 일괄 통보할 예정이다.
이번 시범사업은 기업 참여형 서비스 취약점을 발굴을 통한 기업의 자발적 보안수준 향상을 유도하기 위해 마련됐다. 그동안에는 제품·솔루션에 제한된 보안 취약점 신고포상제였다는 지적에 기업이 참여하는 화이트해커 연계 서비스 취약점 발굴 모델을 개발하겠다는 것이다.
이에 취약점 발굴이 필요한 서비스(홈페이지)를 선정하고 참가신청을 통해 정해진 기간 내에서 취약점 신고를 허용한다.
정보통신망법에 따르면 누구든지 정당한 접근권한 없이 또는 허용된 접근권한을 넘어 정보통신망에 침입해서는 안 된다. 이러한 조항으로 운영 중인 웹서비스를 대상으로 취약점 발굴 활동을 하는 것 자체가 불법으로 간주될 수 있다.
KISA는 이번 시범사업을 통해 이러한 법적 논란을 피하고 기업의 부담을 최소화할 수 있을 것으로 기대했다.
실제, 미국에서는 국방부 주관으로 국방부 웹사이트에 대한 신고 포상제인 ‘핵 더 펜타곤(Hack the Pentagon)’을 추진하고 있다. 국방부 관할 웹사이트 5곳이 대상이며 1410여명이 참가해 이벤트 시작 후 13분만에 최초 취약점을 등록한 바 있다. 총 신고건수는 1189개였다. 이 중 138개를 선정해 58명에게 7만5000달러의 포상금을 지급하기도 했다.
KISA도 2016년부터 이 제도를 도입했고 2012년 10월부터 포상금을 지급하기 시작했다. 현재 한글과컴퓨터, 네이버, 카카오, 네오위즈게임즈, 이스트시큐리티, 이니텍, 잉카인터넷, LG전자, 지니언스, 카카오뱅크, 안랩, 하우리, 엑스블록시스템즈, 블록체인오에스 등이 참여하고 있다. 삼성전자는 자체적으로 취약점 신고포상제를 운영 중이다. 지난해에는 810건의 신고를 받아 411건을 포상했으며, KISA 포상액은 총 1억9360만원이다.
이동근 KISA 침해사고분석단장은 “2016년 이후부터 기업들이 포상금을 직접 지급하는 사례가 늘어났으며, 사물인터넷(IoT) 취약점 신고건수 급증도 포상제 제도가 큰 역할을 했다”며 “올해 1분기부터 물가상승과 화이트해커들의 불만 등을 고려해 최고 포상금액을 500만원에서 1000만원으로 상향했다”고 말했다.
< 최민지 기자>cmj@ddaily.co.kr
댓글목록
등록된 댓글이 없습니다.