한국인터넷진흥원이 침해사고 예방 등 사이버보안 강화를 위해 추진하고 있는 소프트웨어보안 취약점 신고포상제도가 운영되고 있음에도 불구하고 포상금 상위 10개 업체 중 3개 업체에서 최근 악성코드 유포 및 개인정보 유출 등 사고가 발생해 제도의 취지가 무색해 졌다는 지적이 있다.

과학기술정보방송통신위원회 소속 변재일의원(더불어민주당, 청주시청원구)이 한국인터넷 진흥원으로부터 제출받은 'SW보안취약점 신고 포상제 현황‘ 자료에 따르면 2013년부터 올해 3분기까지 5년 동안 민간기업의 소프트웨어 취약점을 보완하기 위해 KISA가 지급한 포상금은 1,123건에 총8억2천만원 수준인 것으로 나타났다.

※ 표 : 첨부파일 참조

특히 동기간 동안 포상금 지급액 최다 업체 10개사를 확인한 결과, 포상금 1위를 차지한 A업체의 경우 9천여 만원의 포상금을 지원받아, KISA가 지급한 포상금의 10%에 달하였다. 또한 상위 10개 업체에 총 지원된 포상금은 2억 6천여만원으로 총 지원된 포상금의 30%에 달하는 것으로 나타났다.

※ 표 : 첨부파일 참조

이처럼 상위 10개 업체의 소프트웨어 보안 취약점 개선을 위해 지난 5년동안 수억원의 예산이 지원되었음에도 불구하고, 동기간동안 10개 중 3개 업체에서는 악성코드유포 및 개인정보침해사고까지 발생한 것으로 드러났다.

특히 포상금 최다지원을 받은 A업체의 경우, 2015년 악성코드 유포 사고가 발생했고, D업체와 E업체의 경우 개인정보유출 사고가 발생한 것으로 드러났다.

※ 표 : 첨부파일 참조

변재일의원은 “A업체의 경우 KISA가 보안취약점을 수백건을 확인․통보하여 신고된 보약취약점에 최대포상금이 지원되었음에도 불구하고 악성코드 유포 사고가 발생해 제도의 취지가 무색해 졌다”고 지적했다.

또 변의원은 “국민의 혈세를 들여 민간의 취약점을 확인해주고 있지만, 국민에게 민간업체의 리스트조차 공개되지 않고 있는 만큼 제도 전반에 대한 재검토 필요하다”고 지적했다.

※ 참고자료 : 첨부파일 참조