조달청이 보안 취약점을 투명하게 공개하고 개선 체계를 운영하는 인공지능(AI) 기업에 공공조달 가점을 부여하기로 했다. 그동안 보안 취약점 공개에 소극적이던 국내 소프트웨어·AI 산업 전반에 변화가 나타날 것으로 기대를 모은다.
5일 업계에 따르면 조달청은 최근 마련한 '공공조달을 통한 AI 산업 활성화 선도 방안'을 통해 보안 취약점 신고·조치·공개 제도 운영 기업에 입찰 가점 등 인센티브를 부여하겠다는 방침을 밝혔다.
이는 지난해 말 대통령 직속 국가인공지능전략위원회가 '대한민국 인공지능 행동계획(안)'을 발표한 뒤 나온 인센티브 방안이다. 조달청은 AI 제품과 서비스가 공공 영역 전반으로 확산하는 만큼, 단순한 기능 경쟁을 넘어 보안 대응 체계를 갖춘 기업을 우대할 계획이다.
이번 방안에서 언급된 보안 취약점 공개 제도는 '취약점 공개 프로그램(VDP)'과 '협력적 취약점 공개(CVD)'다.
VDP는 기업이 자사 제품이나 서비스의 보안 취약점을 외부 연구자나 화이트해커가 신고할 수 있도록 공식 창구와 절차를 마련하는 제도다. 보안 문제를 조기에 인지해 대형 보안 사고로 확산되기 전에 대응하는 데 목적이 있다.
CVD는 접수된 취약점을 기업과 연구자가 협력해 분석·조치한 뒤, 일정 기간을 거쳐 공개하는 방식이다. 무분별한 정보 노출을 막으면서도 취약점 개선을 유도하는 국제적 표준으로 자리 잡았다.
해외에서는 이미 이러한 제도가 보편화돼 있다. 미국과 유럽의 주요 IT·AI 기업들은 자사 홈페이지에 취약점 신고 페이지를 상시 운영하고, 보안 연구자에게 포상금을 지급하는 '버그바운티' 프로그램도 병행한다. 취약점을 숨기기보다 조기에 드러내고 개선하는 것이 장기적으로 신뢰와 경쟁력을 높인다는 인식이 확산한 결과다.
반면 국내에서는 보안 취약점 공개가 곧 기업 이미지 훼손이나 규제 리스크로 이어질 수 있다는 우려가 크다. 이 때문에 자사 서비스의 보안 상태를 외부에 드러내는 데 소극적이었다.
이번 조달청 방안은 이러한 인식을 바꾸기 위한 첫 제도적 유인책으로 평가된다. 조달 시장에서 가점이라는 명확한 보상이 주어지면 기업들이 자발적으로 보안 수준을 끌어올리는 선순환이 만들어질 것으로 업계에서는 기대하고 있다.
취약점 제보와 검증 수요가 늘어나면서 화이트해커를 중심으로 한 정보보호 서비스 산업도 함께 성장할 것으로 예측된다.
정부는 제도 시행을 위한 시범 사업과 개인정보보호법을 비롯한 관련 법 개정을 추진할 예정이다. 조달청 관계자는 “VDP·CVD 관련 제도가 구체화하면 공공조달 평가에 반영할 것”이라고 말했다.
박진형 기자 jin@etnews.com
