AI가 찾는 보안 취약점…지니언스, 버그 바운티로 선제 대응 강화

AI 기술 발전으로 사이버 공격이 더 정교해지면서 보안 취약점을 사전에 찾아내는 예방 중심의 보안 체계가 중요해지고 있다. 지니언스는 자체 운영 중인 버그 바운티 프로그램을 확대하며 AI 시대 보안 경쟁력 강화에 나섰다.

사이버 보안 기업 지니언스(대표 이동범)는 올해 상반기 ‘보안 취약점 신고 포상제(버그 바운티)’ 운영 결과, 취약점 제보가 지난해 같은 기간보다 129% 증가했다고 29일 밝혔다. 지급한 포상금 규모는 1046% 늘어났다.

회사는 이러한 증가세의 배경으로 AI 활용 확산을 꼽았다. 최근 화이트해커들이 AI를 활용해 소프트웨어의 보안 취약점을 자동으로 탐지하는 사례가 빠르게 늘어나면서 보다 많은 취약점이 발견되고 있다는 설명이다.

버그 바운티는 외부 보안 전문가가 제품이나 서비스에서 취약점을 찾아 제보하면 기업이 이를 검증한 뒤 포상금을 지급하는 제도다. AI 기반 공격이 초고속·대규모로 진화하면서 사고 발생 이후 대응하는 기존 방식만으로는 한계가 있다는 지적이 커지고 있으며, 취약점을 사전에 발견해 제거하는 능동적인 보안 체계 구축이 새로운 과제로 떠오르고 있다.

이 같은 흐름에 맞춰 글로벌 IT 기업들도 버그 바운티 프로그램을 적극 운영하고 있다. 지니언스는 한국인터넷진흥원(KISA)의 소프트웨어 신규 취약점 신고 포상제 공동 운영에 참여한 데 이어 2022년 국내 보안기업 가운데 처음으로 자체 버그 바운티 프로그램을 도입했다.

회사는 최근 국제적으로 확산되고 있는 취약점 제보 정책(VDP)과 협력적 취약점 공개(CVD) 체계도 적극 적용하고 있다. 화이트해커의 제보부터 취약점 검증, 조치, 공개까지 전 과정을 국제 표준 가이드에 맞춰 운영하고 있으며, 조치가 완료된 취약점은 제품별 공식 채널을 통해 투명하게 공개한다. 이를 통해 고객은 보안 위험을 최소화하면서 신속하게 최신 버전으로 업데이트할 수 있다.

지니언스는 지난 2월부터 버그 바운티 적용 범위를 모든 제품과 서비스로 확대했다. 국문과 영문 페이지를 동시에 운영해 국내외 화이트해커들의 제보를 상시 접수하고 있으며, 글로벌 보안 커뮤니티와 연계해 취약점 관리 체계도 강화하고 있다.

또 글로벌 오픈소스 플랫폼인 깃허브의 보안 권고 기능을 활용해 취약점 정보를 관리하고, 국제 표준 식별번호인 CVE ID를 발급받아 대응 현황을 공개하는 등 글로벌 기준에 맞춘 보안 관리 체계도 구축했다.

김계연 지니언스 CTO 겸 미국법인장은 “버그 바운티 프로그램 운영 결과는 AI 시대 고도화된 위협에 선제적으로 대응할 수 있는 지니언스만의 독자적 방어 역량을 입증한 것”이라며 “버그 바운티를 글로벌 기준의 CVD/VDP 체계로 더 확고히 해 전 세계 고객에게 신뢰성 있는 제품을 제공하고, 글로벌 보안 생태계의 건강한 발전을 선도하겠다”고 말했다.

강동식 기자 lavita@datanews.co.kr