이런 상황에서 최상의 방어책은 위험도 높은 취약점을 실제 사이버 공격자보다 빨리 찾는 일일지 모른다. 구글, 페이스북, MS 등 세계적인 IT기업들이 취약점 신고 포상제(버그바운티)를 적극적으로 운영하고 있는 이유다. 버그바운티는 제품 사용자들이 사이버 공격 위험에 노출될 수 있는 취약점을 가급적 사전에 발견해 이를 막겠다는 취지다. 대표적인 능동적 보안 정책이다.
정작 국내 기업들은 버그바운티에 소극적이다. 취약점이 다른 누군가에 의해 발견되는 것 자체를 간섭이자 공격행위로 인식하는 경우가 적지 않다. 버그바운티로 찾은 버그 수는 기하급수적으로 증가하고 있는 것에 비해 국내 기업의 참여율이 크게 개선되는 분위기도 아니다.
국내 기업들의 인식 전환도 시급하다. 사물인터넷(IoT) 시대로 진입하면서 공격자들의 반경이 더 넓어졌으니 기업은 이에 응당한 보안 투자를 해야 하는 게 상식이다. 올해 초 과학기술정보통신부가 발표한 2017년 정보보호 실태조사 중 기업 부문 결과에 따르면 조사 대상 9000개 기업 중 정보보호 예산을 편성한 기업의 비율은 48.1%에 그쳤다. 전년에 비해 15.6%포인트 증가한 수치지만 여전히 아쉬운 수준이다.
최근 6000억원 규모의 가상통화를 빼앗긴 일본 가상통화 해킹사건에서 볼 수 있듯 해커가 나만은 피해 갈 것이라는 방심으로 모든 걸 잃을 수 있는 세상이다. 하루에 새로운 악성코드가 100만개씩 만들어지는 세상이다. 해커들과 이길 수 없는 전쟁을 펼칠 수 밖에 없는 상황이라면, 방패라도 열심히 만들어야 하지 않겠는가.
[저작권자 @머니투데이, 무단전재 및 재배포 금지]