구글이 지난해 전 세계 화이트해커들에게 지급한 보안 취약점 포상금이 1700만 달러를 넘어섰다. 보상 규모가 역대 최고치다.
지능화되는 사이버 위협에 맞서 내부 인력에만 의존하던 ‘폐쇄형 보안’에서 외부 전문가의 집단지성을 빌리는 ‘개방형 보안’으로 전략이 전환됐다는 분석이다.
구글이 발표한 ‘2025 보안 취약점 보상 프로그램(VRP) 보고서’에 따르면, 지난해 구글은 747명의 전 세계 화이트 해커(보안 연구자)에게 총 1710만 달러(약 230억원)를 보상금으로 지급했다. 전년 대비 40% 이상 급증한 수치다. 2010년 구글이 버그 바운티(취약점 신고 포상제·VRP) 제도를 도입한 이후 사상 최대 규모다.
버그 바운티는 기업이 자사 서비스의 보안 취약점을 찾아낸 화이트 해커에게 포상금을 지급하는 제도다. 화이트해커는 악의적인 목적으로 시스템을 파괴하는 블랙해커와 달리, 보안 약점을 선제적으로 발견해 기업이 방어 전략을 세울 수 있도록 돕는다.
초기엔 기업 내부 취약점을 외부에 드러내는 위험한 실험으로 여겨졌으나, 이제는 구글 생태계를 지탱하는 핵심 방어 체계로 자리 잡았다.
구글은 “전세계에 흩어진 보안 전문가들의 각기 다른 시각은 내부 보안팀이 놓치기 쉬운 취약점을 찾아내는 데 중요한 역할을 한다. 외부 연구 커뮤니티와의 협업 없이는 오늘날의 복잡한 보안 위협을 막아내는 것이 불가능했을 것”이라며 화이트해커들에게 공을 돌렸다.
“보안은 비용 아닌 투자”…사고 터지면 피해액 눈덩이
구글이 거액을 외부 해커들에게 쏟아붓는 이유는 역설적으로 ‘비용 절감’ 때문이다. 현대의 사이버 공격은 단 한 번의 성공으로도 기업에 치명타를 입힌다. 개인정보 유출 배상금과 브랜드 신뢰도 하락을 고려하면 피해액은 가늠조차 어렵다.
실제로 구글은 지난해 크롬 브라우저의 치명적 결함을 찾아낸 한 명에게 25만 달러(약 3억4000만원)를 지급했다. 보안 업계는 이를 “가장 경제적인 보험료”라고 평가한다. 블랙해커가 다크웹에 취약점을 팔기 전에 기업이 먼저 정당한 대가를 치르고 막는 것이 훨씬 이득이라는 논리다.
미국 IT 전문 매체 테크크런치 역시 “글로벌 빅테크 기업들이 보안 사고로 치러야 하는 평균 비용이 매년 수조 원에 달한다는 점을 감안할 때, 버그바운티는 현존하는 가장 경제적이고 확실한 리스크 관리 수단”이라고 분석했다.
AI 보안의 독립…’제미나이’ 지키는 전 세계 고수들
지난해 보상 규모가 폭발적으로 늘어난 또다른 이유는 AI다. 구글은 생성형 AI ‘제미나이’의 안전을 위해 지난해 ‘AI 전용 VRP’를 신설했다. 내부 인력만으로는 전 세계에서 쏟아지는 새로운 AI 공격 기법을 다 막아내기 어렵기 때문이다.
구글은 외부 해커들의 창의적인 공격 시나리오를 적극 활용한다. 일본 도쿄에서 열린 AI 해킹 이벤트에서는 며칠 만에 70건의 취약점이 발견되기도 했다. 이 과정에서 한국 화이트해커들의 활약도 눈부셨다. 우리 연구자들은 매년 구글 리더보드 상위에 이름을 올리며 글로벌 실력을 인정받고 있다.
구글 관계자는 “내부 보안팀은 시스템 구조를 가장 잘 알지만, 역설적으로 그 구조 안에 갇혀 사고하기 쉽다”며 “한국을 포함한 전 세계 해커들이 제시하는 기상천외한 공격 시나리오 덕분에 구글 시스템의 면역력이 높아질 수 있었다”고 평가했다.
공급망 보안까지…더 강력해질 파트너십
구글의 시선은 이제 자사 제품을 넘어 ‘오픈소스’ 생태계 전체로 향하고 있다. 외부 라이브러리나 도구의 취약점을 점검하는 이들에게도 보상금을 지급한다.
전문가들은 구글의 행보가 보안 패러다임의 전환을 의미한다고 말한다. 취약점을 숨기던 폐쇄적 방식으로는 정교한 공격을 막을 수 없다. 화이트해커에게 명예와 보상을 주고, 기업은 검증된 보안성을 얻는 ‘윈윈(Win-Win) 모델’은 앞으로 IT 산업 전반에 확산될 전망이다.
