"우리 회사 좀 뚫어주세요"…대기업들도 찾는다는 버그바운티 스타트업

등록 2023.07.07 06:00:00수정 2023.07.11 19:41:06

[보안 스타트업이 뛴다⑤] 김오중 파인더갭 대표 인터뷰

플랫폼 소속 화이트 해커만 3000명…시스템 취약점 등급따라 포상

김오중 파인더갭 대표가 성남시 판교제2테크노밸리 기업지원허브 혁신기술존 4층 정보보호클러스터에서 뉴시스와 인터뷰를 하고 있다.(사진=송혜리 기자) *재판매 및 DB 금지

【서울=뉴시스】송혜리 기자 = "해커들은 자신의 실력에 따라 돈을 벌 수 있고 기업들은 비용효율적으로 시스템 취약점을 찾을 수 있어 일석이조입니다."

민간 버그바운티 서비스 기업 파인더갭은 이제 1년 1개월 된 그야말로 새내기 보안 기업이다. 버그바운티란 기업·기관 시스템, 인터넷 서비스 등의 취약점을 찾아내 신고하면 보상을 제공하는 프로그램이다. 해커들은 용돈을 벌 수 있고, 기업들에겐 보안 취약점을 선제 대응할 수 있다. 아울러 개인은 조금이라도 더 안심하고 서비스를 사용할 수 있다.

김오중 대표(37)는 "파인더갭은 기업의 보안 취약점을 신속하게 발견하고 조치하고, 지속적이고 체계적으로 관리해 보안 사고 위험을 미연에 예방할 수 있도록 해주는 회사"라고 정의한다. 지난 3일, 판교제2테크노밸리 정보보호클러스터에서 김오중 대표를 만나 파인더갭의 현재와 미래에 대해 들어봤다.

"우리 회사 뚫어주세요" 버그바운티 시장이 뜨는 이유

김 대표는 파인더갭 창업 이전 대기업 생활을 하면서 국내 기업들이 보안을 바라보는 시각과 이에 따른 국내 보안 시장의 한계를 목도했다.

그는 "대기업 같은 경우엔 개발을 빨리 끝내더라도 보안 점검으로 인해 서비스 런칭이 늦어지는 경우가 발생했는데, 이때 보안 점검이 유연하고 빠르게 지원되면 신속하게 서비스를 내놓을 수 있다"고 말했다. 이어 "스타트업의 경우 유니콘 정도는 돼야 최고정보보호책임자(CISO)를 두면서 보안에 눈길을 줄 여력이 생긴다"며 "스타트업은 성장이 당면 과제니, 당연히 잠재 위협인 보안은 후순위가 될 수 밖에 없다"고도 했다.

보안 업계 인력자원에 대한 고충도 털어놨다. 그는 "전문 인력이 늘 부족한데, 기업들이 '우리 이번에 보안 점검을 받아야 하는데 저희 좀 점검해주세요'라고 요청을 해도, 보안 기업에선 '인력이 없어서 지금 못할 거 같아요' 라고 할 수 밖에 없는 사례가 비일비재하다"고 토로했다.

그가 버그바운티 플랫폼 시장에 뛰어든 이유다. 김 대표는 "이미 버그바운티 프로그램이 활성화돼 있는 미국 사례에 착안해 우리나라에서도 '보안을 공유해서 쓰는 서비스'를 만들자는 생각에서 버그바운티 플랫폼을 선보이게 됐다"고 말했다.

파인더갭의 버그바운티 프로그램은 대략 이렇다. 고객사가 버그바운티를 요청하면 파인더갭이 취약점 등급에 따라 포상금 기준을 세우고 플랫폼에 소속된 화이트 해커들에게 이를 공표한다. 파인더갭 버그바운티 플랫폼에 가입돼 있는 화이트 해커는 대략 3000명에 이른다. 소속 회원이 되려면 본인인증을 통해 가입하게 된다.

이후 화이트 해커들은 시스템 취약점을 찾게 되고, 뚫게 될 경우 조치 가이드와 함께 신고를 하게 된다. 파인더갭은 해당 취약점을 분석해서 포상금 지급 여부를 고객사와 함께 판단하게 된다.

김 대표는 "통상 기존 모의 해킹 프로그램들의 경우 기업과 짧게는 2, 3일 길게는 한 달 정도 계약을 하는데 계약 기간 동안 해당 프로젝트만 수행할 수 있다"며 "반면 파인더갭 버그바운티의 경우 여러 개 기업 시스템 분석을 수행할 수 있어 이득"이라고 말했다.

이어 "기존 모의해킹 프로그램은 고용된 해커들이 해당 기간 동안 취약점을 발견하지 못해도, 찾아낸 취약점이 중대한 위협이 아닐 경우에도 동일한 비용이 들지만, 파인더갭의 경우 100명 혹은 1000명 이상의 해커들이 장기간 투입되고, 또 찾아낸 취약점의 중요도에 따라 그에 걸맞는 포상금을 지급하기 때문에 비용 효율적"이라고 강조했다.

"가상 CISO(최고보안책임자) 플랫폼으로 진화시킬 것"

기업 경영진들의 정보보호 인식이 크게 달라지고 있다. 사이버 해킹·개인정보 유출사고가 이어지면서 기업들의 피해 규모가 갈수록 커지고 있기 때문이다. 사고 기업에 대한 사회적 시선이 따갑다. 정보보호에 소홀한 기업들에 대한 행정 제재와 이용자들의 손해배상 소송도 많아지고 있다.

내부 보안 사정을 외부에 알리는 것을 극도로 꺼리며 '긁어 부스럼 만들지 않는다'던 기업들이 하나둘씩 버그바운티 프로그램을 찾기 시작했다. 이 회사가 운영하는 버그바운티 프로그램에 참여한 기업만 벌써 50여개사가 넘는다. 이중 대기업들도 많다.

여세를 몰아 파인더갭은 기업·기관에 '버추얼 CISO(가상 보안최고책임자)' 플랫폼으로 진화시키겠다는 목표도 세웠다. 파인더갭 플랫폼 안에서 다양한 기업들이 보안 서비스에 대한 모든 것을 제공 받는 종합 보안 플랫폼으로 발전시키겠다는 구상이다.

김 대표는 "당장은 열심히 달려가는 것 밖에 없겠지만, 유니콘 이상의 기업들이 어떻게 하면 보안 정책을 효율적으로 관리할 수 있을까 하는 부분에 초점을 두고 새로운 시도들을 해나가고 있다"면서 "관련 서비스들을 선보이게 될 것 같다"고 말했다.

◎공감언론 뉴시스 [email protected]