강태진 시큐어플래닛 대표(오른쪽 세 번째)와 시큐어플래닛 관계자들이 5일 서울 삼성동 무역센터에서 기념촬영하고 있다.

블록체인 기반 오픈소스 보안 생태계 구축을 목표로 추진되고 있는 시큐어플래닛이 보안 취약점 신고를 통해 블랙해커를 화이트해커로 만들겠다는 포부를 밝혔다. 북한 해커들 역시 양지로 끌어낼 수 있다는 지적이다.

오픈소스 보안 업체 인사이너리와 오픈소스 기업 BDKS 등은 5일 서울 삼성동 무역센터에서 ‘오픈소스 보안취약점 데이터베이스 생태계 구축을 위한 기술 워크숍’을 개최하고 ‘시큐어플래닛 프로젝트’를 공개했다. 

시큐어플래닛은 블록체인 기반의 오픈소스 보안 취약점 데이터베이스(DB) 생태계를 구축하는 프로젝트다. 인사이너리와 BDSK는 현재 사용되고 있는 애플리케이션 소프트웨어(SW)에 60~90%의 오픈소스 코드가 사용되고 있다고 설명했다. 사물인터넷(IoT) 경우에는 사용되는 SW의 77%가 오픈소스다. 하지만 그 이면의 오픈소스 취약점으로 인해 IoT 기기 평균 677개의 취약점이 있다는 것이다. 해커들은 이런 취약점을 이용해 정보를 빼내거나 서비스를 마비시킨다.

이에 취약점을 수집하고 관리, 보완하는 조치가 전 세계적으로 이뤄지고 있다. 인사이너리와 BDSK는 현재 취약점 수집에 불투명성, 보상지급 미비 등 문제가 있다고 보고 있다.  

이를 해결하기 위해 이들은 기존의 중앙집중적인 오픈소스 보안 취약점 DB에서 벗어나 블록체인으로 투명하고 신뢰성 있는 DB를 구축하겠다는 것이다.

강태진 시큐어플래닛 대표는 “기존에 정부, 기업 주도로 취약점 DB를 구축하고 있지만 이에 대한 의구심도 많다”며 “워너크라이 사건의 경우 미국 국가안보국(NSA)가 보관하고 있던 마이크로소프트(MS) 제품 취약점이 해커에 의해 유출되면서 문제가 발생했다. 미국 NSA는 해당 취약점을 MS에 알려주지 않고 보관만 해서 의심을 받고 있다”고 지적했다.

시큐어플래닛은 전 세계 전문가들의 리포팅을 받은 후 이를 검증해 블록체인으로 DB화하고 제공하는 분산회되고 중립적인 모델을 제공할 계획이다.

또 시큐어플래닛은 기존 취약점 수집의 문제인 보상 문제와 이로 인한 허점을 암호화폐를 통해 해결할 계획이다. 강태진 대표는 “개발자가 취약점을 찾으면 오픈소스 산업에 기여하려고 무료로 리포트를 한다. 또 일부 회사에서 취약점에 금정적인 보상을 하기도 한다. 하지만 수만 개의 오픈소스 SW가 있는데 모두가 관심을 가지는 것도 아니고 개별 기업들이 이를 다 보상하기도 어렵다”고 설명했다.

이에 시큐어플래닛은 오픈소스 보안 취약점을 제보하는 사람에게 암호화폐를 지급할 계획이다.

강태진 대표는 이런 보상체계가 악성 활동을 하는 블랙해커를 보안 강화를 위해 활동하는 화이트해커로 바꿀 수 있다고 지적했다.

그는 “시큐어플래닛의 참여는 컴퓨터가 있고 네트워크에 연결만 되면 할 수 있다. 이에 따라 제3세계 개발자들이 참여할 수 있을 것”이라며 “북한 해커들이 랜섬웨어 만들고 악성활동을 한다고 하는데 그들도 참여할 수 있다. 블랙해커와 화이트해커는 종이 한 장 차이다. 블랙해커가 잘못을 반성하고 화이트해커가 되기도 하고 화이트해커가 돈 때문에 블랙해커가 될 수 있다. 북한 해커들도 해킹으로 돈을 벌기보다 취약점 신고로 돈을 벌도록 유도할 수 있다”고 주장했다.

암호화폐라는 당근을 제공해 북한 해커를 포함한 블랙해커들을 양지로 나오도록 하고 오히려 그들의 역량을 보안 강화에 이용하자는 것이다.  

실제로 북한에서는 오픈소스가 어느 나라보다 널리 사용되고 있는 것으로 알려져 있다. 북한은 국제 사회의 경제제재로 인해 SW 수입이 어려워지면서 오픈소스를 적극적으로 활용 중이다. 북한이 자체 개발했다고 주장하는 붉은별 운영체제(OS)는 오픈소스 리눅스를 기반으로 만들어졌다. 

또 북한은 웹 개발, 오피스 프로그램, 산업용 SW, 지리정보시스템 등에 오픈소스를 사용하고 있는 것으로 알려져 있다. 따라서 북한 개발자들은 오픈소스 취약점을 잘 알고 있으며 그들 역시 취약점를 개선해야 할 필요성이 크다.

북한 개발자들이 이런 취약점을 신고해서 돈을 벌 수 있게 되면 비난이나 위험을 무릎 쓰고 해킹을 하지 않아도 된다. 더구나 시큐어플래닛은 미국, 유럽, 일본 등 해외 다양한 기업, 전문가들이 참여하는 글로벌 플랫폼이다.

한편 시큐어플래닛은 두 가지 종류의 토큰을 운영할 방침이다. ‘SPX’와 ‘Rep 토큰’이다. SPX는 취약점을 제보하는 사람에게 제공되는 암호화폐로 DB를 이용하려는 기업, 제보자 등이 이용한다. Rep 토큰은 사고파는 암호화폐가 아니라 취약점 검증을 위한 도구로 사용된다. 시큐어 플래닛에서 해킹 관련 대회 수상자나 전문가에게 Rep 토큰을 제공하고 그 토큰이 있는 사람만이 취약점을 점검할 수 있다. 

위험한 취약점, 널리 알려야 할 취약점을 제보한 사람에게 더 많은 SPX가 지급되고 역시 더 정확하게 검증을 한 전문가에게 SPX와 Rep 토큰이 지급되는 방식이다.

시큐어플래닛은 내년 상반기 디앱(Dapp) 형태로 서비스를 공개할 예정이다. 시큐어플래닛은 싱가포르에 법인을 설립했으며 프라이빗 세일 등으로 암호화폐공개(ICO)를 하고 있다. 목표금액은 2000만 달러(226억 원)다.

강진규 기자  maddog@nkeconomy.com

* NK경제가 뉴스레터 서비스를 시작합니다. 많은 신청 부탁드립니다.

NK경제 뉴스레터 신청

 

 

관련기사

저작권자 © NK경제 무단전재 및 재배포 금지