[국감브리핑]"KISA '보안취약점 신고포상제' 보상액 83%는 정부 예산"

(서울=뉴스1) 오현주 기자 = 한국인터넷진흥원(KISA)이 진행하는 보안취약점 신고포상제도의 보상액 83%가 정부 예산으로 지급된 것으로 나타났다.

11일 국회 과학기술정보방송통신위원회 소속 변재일 더불어민주당 의원이 이날 KISA로부터 제출받은 자료에 따르면, 지난 2018년부터 올해 상반기까지 5년간 지급된 포상금액 14억1600만원 중 11억7138만원은 정부 예산이었다.

'보안 취약점' 신고제는 KISA가 지난 2012년부터 진행한 '버그바운티' 프로그램이다. 기업의 서비스나 제품을 해킹해 보안 취약점을 발견한 화이트 해커(착한 해커)에게 포상금을 주는 형식이다.

기관은 상시로 보안 취약점을 신고 받고 분기별로 보안 전문가가 참여하는 평가위원회를 구성해 취약점을 평가하고 있다. 또 평가를 통해 신규 취약점을 발견한 신고자에게 최대 100만원을 보상해준다 .

보상금은 민간 기업과 정부의 예산으로 지급됐다. '버그 바운티' 프로그램 공동 운영사로 참여하는 민간 기업의 경우 자사 취약점 신고자에 대한 포상금은 자체 부담한다. 나머지 기업에 대해서는 KISA가 정부 예산으로 지원하는 방식이다. 하지만 전체 포상금의 80% 이상이 정부 예산이라고 변 의원 측은 지적했다.

특히 정부 예산 지원을 받은 곳에는 대기업과 해외 기업도 포함된 것으로 확인됐다. KISA는 2020년부터 2022년 상반기까지 대기업 보안취약점 120건에 대해 정부 예산 6935만원을 지급했다. 또 해외 기업의 소프트웨어(SW) 관련 신고 건수 22건에도 1195만원을 지급했다.

변 의원은 "보안취약점 신고포상제의 실효성 있는 제도 운영을 위해 국회가 5월 법적 근거를 마련했음에도 불구하고, 여전히 민간사업자 참여가 저조한 실정"이라며 "정부 지원은 국내 중소기업으로 한정하고 투자 여력이 있는 대기업·중견기업이 공동운영사로 참여할 수 있도록 인센티브 마련 등 제도 보완이 필요하다"고 말했다.

woobi123@news1.kr