이 기사는 2025년 10월 24일 09:08 thebell 에 표출된 기사입니다.

네이버, 카카오같은 국내 플랫폼 기업들은 이제 '데이터 공룡'이 됐다. 세금 고지서를 카카오톡으로 수신하며 네이버에서 개인의 보유 자산을 통째로 본다. 검색이나 소비 패턴뿐 아니라 금융 정보까지 민감한 정보를 대량 축적하고 있다.

하지만 닷컴 열풍 이후 우후죽순 성장하면서 보안을 부차적 이슈로 미뤘던 국내 IT업계의 관성이 아직 남아있는 것으로 보인다. 보안을 비용이 아닌 핵심 전략 자산으로 인식하고 있는 글로벌 빅테크들과 비교하면 격차는 더 분명해진다.

◇성장에 가려진 보안, 인력 비중 '평균 이하'

2024년 네이버와 카카오의 IT인력에서 정보보호 인력이 차지하는 비중은 각각 4.3%, 2.9%로 나타났다. 공시 대상 기업들의 평균이 6.71%인데 여기에 한참 못 미친다. 업종 특성상 IT 인력이 많아 상대적으로 보안인력 비율은 낮아 보일 수 있다는 점을 감안해도, 다루는 데이터의 규모를 고려하면 미진한 수치다.

게다가 네이버와 카카오의 보안 인력 비중은 최근 3년 내리 평균을 밑돌고 있다. 2022년 평균이 6.26%였는데 당시 네이버는 4%, 카카오는 3.6%를 기록했다. 이와 비교하면 지난해 수치는 크게 차이가 없거나 되려 더 낮아졌다. 플랫폼 확대로 지켜야 할 영역이 빠르게 확대되는 반면 보안역량은 그 속도를 따라잡지 못하고 있다는 뜻이다.


물론 보안 강화를 위한 노력도 기울이고 있다. 정보보호 정책을 보면 네이버는 데브섹옵스(DevSecOps) 등 최신 보안기술 연구를 강조한다. 카카오 역시 서비스를 기획할 때부터 개인정보 침해 요인을 예측하고 예방하겠다는 '프라이버시 바이 디자인(Privacy by Design)' 원칙, 검증받은 정보보호체계와 투자 등을 내세웠다.

하지만 기술적, 운영적 접근에 그칠 뿐 플랫폼 기업으로서 보안에 대한 뚜렷한 목표나 거시적인 전략이 보이지 않는다는 한계가 지적된다. 보안 사고에 대한 사후 대응적인 형태를 벗어나지 못하고 있다는 이야기다.

◇보안 생태계 주도하는 구글 '프로젝트 제로'

실제로 구글의 경우 보안을 개별 전문가 차원에서 산업적(Industrial)인 규모로 전환하겠다는 분명한 정책을 제시하고 있다. 구글의 '프로젝트 제로(Project Zero)'가 대표적이다. 내부 보안 연구팀으로 2014년부터 운영해 왔다. 제로데이(Zero-day) 공격 피해를 줄이겠다는 취지다.

제로데이는 보안 취약점이 공개되거나 패치가 나오기 전, 그 약점을 노려 이뤄지는 사이버 공격을 뜻한다. 주목할 점은 구글이 프로젝트 제로를 자사뿐 아니라 경쟁사들을 상대로도 실행한다는 점이다. 제로데이 취약점을 발굴하고, 그 제조사에게 알린 뒤 90일(유예 가능)이 지나면 대중에게 공개하는 것을 원칙으로 한다. 기업들이 취약점 수정을 미루거나 무시할 수 없도록 압박하기 위해서다.

그간 프로젝트 제로팀은 2014년 윈도우 8.1의 권한상승 관련 취약점, 2019년 아이폰 사용자를 2년 동안 감염시켜온 5개의 취약점 등을 찾았고 올해 역시 삼성전자 스마트폰의 '제로클릭' 취약점을 발견해냈다. 지금은 패치가 완료됐지만 사용자의 개입이 없어도 악성코드를 실행할 수 있었던 취약점이다.

구글이 경쟁사 결함을 찾아 공개한다는 점에서 중립성 논란이 일기도 했다. 하지만 프로젝트 제로는 구글 스스로의 취약점도 보고하고 있다. 광범위한 연구를 통해 생태계 전체의 보안 수준을 높이려는 시도로 평가받는다.

◇글로벌 빅테크 '버그 바운티'에 포상금 수백억

이밖에 마이크로소프트, 메타의 경우 구글과 함께 집단 지성의 힘을 빌려 사이버 리스크에 공격적으로 대응하고 있다. 전 세계에서 손꼽히게 규모가 큰 '버그 바운티(Bug Bounty)'를 운영 중이다. 버그 바운티는 해커나 개발자들이 취약점을 찾아내 기업에 제보하면 금전적 보상을 지급하는 프로그램이다.


투자규모는 수백억원 단위에 이른다. 구글은 버그 바운티를 통해 지난해만 660명에게 1200만달러를 지급했으며 2010년부터 누적된 포상금은 6500만달러에 달하고 있다. 메타는 2011년부터 총 2110만달러, 지난해 230만달러를 썼다.

마이크로소프트의 경우 2018년부터 버그 바운티를 시작해 다소 늦었지만 포상금 규모는 이미 경쟁사들을 추월했다. 작년에 지급한 금액만 1700만달러, 지금까지 총 9250만달러를 포상금으로 줬다.

◇네카오 버그 바운티, 규모·범위 '제한적

네이버와 카카오는 어떨까. 두 회사도 버그 바운티를 진행 중이지만 규모나 적극성 측면에서 큰 차이가 있다. 네이버엔 2024년 296건의 버그가 제보로 들어왔지만 상금으론 8500만원을 쓰는 데 그쳤다. 글로벌 빅테크들과의 덩치차를 감안해도 투자 규모가 소극적이다.

높은 포상금은 엘리트 인력을 끌어들일 수 있는 유인책이자, 회사가 보안을 최우선으로 여기고 있다는 대외적 신호로 작용한다. 반면 포상금이 낮으면 프로그램에 대한 참여가 그만큼 떨어질 수밖에 없다.

카카오 역시 실효성에 의문이 나온다. 발견된 취약점에 따라 5만원에서 1000만원의 포상금을 지급하는데 참여자가 한국인으로 제한돼 있기 때문이다. 2023년 말 독일 프로그래머가 카카오톡 소스코드의 취약점을 찾아내 제보했지만 외국인이라는 이유로 보상을 받지 못했다. 버그 바운티에 국적 제한을 두지 않는 글로벌 기업들과는 대조적이다.


카카오처럼 버그 바운티 보상을 한국인에게만 한정 하는 것은 위험한 선택이 될 수 있다. 취약점을 발견한 해외 개발자들이 카카오에 직접 제보하지 않고 블랙마켓 등을 통해 공개할 경우, 카카오는 예상치 못한 보안 리스크에 노출되기 때문이다.


업계 관계자는 "버그 바운티 정책이나 규모 차이는 단순히 예산 문제가 아니라 보안에 대한 근본적인 인식 차이에서 비롯된다"며 "보안을 단순한 방어나 비용의 관점이 아닌, 시장을 주도할 수 있는 적극적 수단으로 다시 볼 필요가 있다"고 말했다.