​[2022 국감] 보안취약점 신고포상제 "실효성 위해 대기업 참여 늘려야"

최근 5년간 정부 지원 포상금 86% 차지...대기업·외국계도 포함

투자 여력 있는 대기업 공동운영사로 참여토록 인센티브 등 필요

[사진=게티이미지뱅크]

한국인터넷진흥원(KISA)이 실시하는 소프트웨어 보안취약점 신고포상제(이하 신고포상제)에 대해 취지를 살려 민간기업과 공동운영사의 참여율을 높여야한다는 주장이 나왔다.

11일 국회 과학기술정보방송통신위원회 소속 변재일 의원(더불어민주당)에 따르면 현재 신고포상제 포상금은 정부예산으로 83%를 지원하고 있다.

KISA는 지난 2012년부터 해킹에 악용될 수 있는 취약점을 사전에 발굴하고, 민간기업이 조치할 수 있도록 버그바운티 형태의 신고포상제를 운영 중이다. 이를 통해 상시로 보안취약점을 신고받고, 분기별로 평가위원회를 구성해 취약점 중요도에 따라 최대 1000만원의 포상금을 지급하고 있다.

현재 공동운영사로 참여하는 민간기업의 경우, 자사 취약점 신고자에 대한 포상금은 기업이 부담하고 있지만, 참여하지 않는 기업의 취약점 포상금은 KISA가 정부 예산으로 지원하고 있다.
 

최근 3년 간 KISA가 지급한 기업유형별 포상금 지급액 현황.[그래픽=변재일 의원실]

KISA가 변재일 의원실에 제출한 자료에 따르면, 2018년부터 2022년 상반기까지 5년간 지급된 포상금액 총 14억1600만원이며, 이 중 11억7138만원(83%)을 정부예산으로 지급했다. 공동운영사의 지급액은 2억4500만원(17%) 규모다.

특히 KISA는 최근 3년간 대기업 보안취약점 총 120건에 대해 6935만원을 지급했고, 중견기업 보안취약점 46건에 대해서도 6175만원을 지급한 것으로 확인됐다. 뿐만 아니라 해외기업의 보안취약점 22건에 대해서도 1195만원을 지급했다.

변 의원은 "신고포상제의 실효성 있는 운영을 위해 국회가 지난 2022년 5월 29일 법적 근거를 마련했음에도 불구하고, 여전히 민간사업자 참여가 저조한 실정"이라며 "정부 지원은 국내 중소기업으로 한정하고, 투자 여력이 있는 대기업·중견기업이 공동운영사로 참여할 수 있도록 인센티브 마련 등 제도 보완이 필요하다"고 밝혔다.