지니언스(12,190원 ▲650 +5.63%)가 AI 시대 사이버 위협에 대응하기 위해 자체 보안 취약점 신고 포상제 운영을 확대하고 있다. 외부 화이트해커가 제품과 서비스의 취약점을 찾아 신고하면 포상금을 지급하고, 조치가 끝난 취약점은 국제 표준 절차에 맞춰 공개하는 방식이다.
지니언스는 상반기 자사 보안 취약점 신고 포상제에 총 103건의 취약점 신고가 접수됐다고 29일 밝혔다. 접수 건수는 전년 동기 대비 약 129%, 지급 포상금은 약 1046% 증가했다.
보안 취약점 신고 포상제는 이른바 버그 바운티로 불린다. 소프트웨어나 웹 서비스의 보안 약점을 발견해 신고한 화이트해커에게 포상금을 지급하는 제도다. 공격자가 취약점을 악용하기 전에 기업이 먼저 문제를 찾아내고 조치할 수 있다는 점에서 선제적 보안 체계로 꼽힌다.
최근에는 AI 기술 확산으로 취약점 탐지 환경도 달라지고 있다. 화이트해커들이 AI 도구를 활용해 보안 약점을 자동으로 탐색하는 사례가 늘고 있어서다. 반대로 공격자 역시 AI를 활용해 취약점을 빠르게 찾고 악용할 가능성이 커지면서, 기업 보안 체계도 사후 대응에서 상시 예방 중심으로 옮겨가고 있다.
지니언스는 2022년 국내 보안 업계 최초로 자체 버그 바운티 프로그램을 도입했다. 한국인터넷진흥원(KISA)이 운영하는 소프트웨어 신규 취약점 신고 포상제 공동운영사로 참여한 경험을 바탕으로 독자 프로그램을 구축했다.
올해 2월부터는 버그 바운티 대상을 전 제품과 서비스로 확대했다. 국문·영문 공식 페이지를 통해 국내외 화이트해커의 취약점 제보를 상시 접수하고 있다.
특히 지니언스는 취약점 제보 정책(VDP)과 협력적 취약점 공개(CVD)를 버그 바운티와 연계하고 있다. VDP는 외부 보안 전문가가 취약점을 안전하고 합법적으로 신고할 수 있도록 범위와 절차를 정한 정책이다. CVD는 취약점이 악용되지 않도록 패치 완료 전까지 기업과 제보자가 협력해 공개 시점과 방식을 조율하는 절차다.
지니언스는 취약점 조치가 완료되면 공식 채널을 통해 관련 내용을 공개하고 있다. 또 깃허브의 보안 권고 기능을 활용해 보안 조치 내용을 알리고, 발견된 취약점에는 국제 표준 식별자인 CVE ID를 발급받아 관리하고 있다. 이를 통해 고객사가 취약점 노출 위험을 줄이면서 신속하게 업데이트할 수 있도록 지원한다는 설명이다.
독자들의 PICK!
김계연 지니언스 CTO 겸 미국법인장은 "버그 바운티 프로그램 운영 결과는 단순한 취약점 발견 성과를 넘어 AI 시대 고도화된 위협에 선제적으로 대응할 수 있는 방어 역량을 보여준다"며 "자체 버그 바운티를 글로벌 기준의 CVD·VDP 체계로 확고히 해 전 세계 고객에게 신뢰성 있는 제품을 제공하겠다"고 말했다.
