화이트해커 합법화 길이 열릴 전망이다. 화이트해커가 기업·기관의 보안 취약점을 발견해 신고하는 '취약점 신고·조치·공개제도'가 올해 시범사업으로 도입된다.
17일 국가인공지능전략위원회가 최근 국무회의에 보고한 인공지능(AI) 액션플랜 세부 내용에 따르면 정부는 대규모 개인정보 유출, AI 기반 사이버 위협 등에 대응해 선제적·상시로 보안 취약점을 발굴·제거하는 제도를 올해 시범 도입하기로 했다.
현행 정보통신망 이용촉진 및 정보보호 등에 관한 법률(정보통신망법)에서는 해킹 범죄를 방지하기 위해 선의의 목적으로 취약점을 탐색하는 화이트해커 활동까지 불법으로 규정하고, 정보통신망 침입을 원천 금지했다. 이에 제도 보완 필요성이 지적됐다.
사이버 보안업계에서는 지난해 대규모 해킹 사고가 잇따라 터지자 화이트해커가 기업 계약 등 보호막 없이도 활발히 활동할 수 있는 기반이 필요하다고 제안해왔다.
국가AI전략위는 240만명이 가입한 화이트해커 플랫폼 '해커원' 등과 논의를 거쳐 민간 화이트해커를 활용한 선제적·상시 보안 점검 체계 도입 방안을 구체화했다.
미국·유럽연합(EU)의 취약점 신고·조치·공개 제도를 참고해 도입하는 로드맵을 다음 달까지 마련하고 올해 시범 사업을 진행한 뒤 내년 법·제도 개선을 추진할 계획이다.
현재 미국 국방부와 사이버보안국(CISA) 등은 취약점 제보 프로그램(VDP)을 운영하며 화이트해커가 정부 시스템의 보안 약점을 찾아 제보할 때 법적 처벌 걱정 없이 활동할 수 있도록 보장한다. 보안 취약점을 신고하는 사람에게 포상금을 지급하는 '버그바운티 제도'도 활용된다. 구글, 애플 등 글로벌 빅테크나 공공 분야에서 버그바운티로 화이트해커의 참여를 촉진하고 적극적인 보상에 나서면서 사이버 공격 방어 생태계를 키우고 있다.
강성전 기자 castlekang@etnews.com
