정부가 보안 강화를 위해 화이트해커의 취약점 신고를 제도권 안으로 끌어들인다. 기존 사후 대응 중심의 정보보안 체계를 사전 예방 체계로 전환하기 위한 조치다. 화이트해커가 기업·기관의 보안 취약점을 상시 발굴·신고하고, 피신고 기관은 이를 조치한 뒤 공개하는 '보안 취약점 신고·조치·공개 제도(CVD·VDP)' 도입이 핵심이다.
국가인공지능전략위원회는 25일 이 같은 내용을 담은 'CVD·VDP 제도 도입 로드맵'을 심의·의결하고 하반기 시범사업을 진행한다고 밝혔다. 현행 정보보안 제도가 연 1회 점검과 체크리스트 중심의 절차 평가에 머물러 실시간·상시적으로 고도화되는 해킹 위협에 대응하기 어렵다는 판단에서다.
그동안 국내에서는 정보통신망 침입 행위가 선의의 목적이라도 불법으로 간주돼 제도 운영이 어려웠다. 현재는 정보통신망이 아닌 제품(SW)만을 대상으로 한 취약점 신고 포상제가 분기별로 운영되고 있다. 신고된 취약점에 대한 조치 강제력은 없다.
정부는 화이트해커가 기업·기관이 사전에 공개한 정책 범위 내에서 모든 정보통신망과 서비스의 취약점을 상시 탐지·신고할 수 있도록 제도화한다는 방침이다. 기업·기관은 신고된 취약점을 조치한 뒤 일정 기간 내 공개한다. 공개 과정에서 기업·기관 및 화이트해커 실명은 본인 의사를 고려해 익명 처리도 허용한다.
제도 도입은 3단계로 추진된다. 우선 올해 하반기 민간 분야는 과학기술정보통신부, 공공 분야는 국가정보원 주도로 시범사업을 실시해 제도 효과를 검증한다. 2027년에는 시범사업 결과를 토대로 제도 설계와 가이드라인을 마련하고, 이후 정보통신망법·개인정보보호법 등 관계 법령 개정을 통해 공공 의무화와 민간 전면 참여를 뒷받침한다는 계획이다.
참여 유인책도 마련한다. 공공은 기관 평가와 연계하고, 민간은 보안인증 가점과 공공조달 우대, 개인정보보호법상 사고 발생 시 과징금 감경 요소 반영 등을 추진한다. 화이트해커에 대해서는 신고 포상제를 활성화해 초기 참여를 유도한다. 또 관계 법령을 정비해 화이트해커가 민·형사 처벌 우려를 해소한다.
정부는 취약점 공개로 인한 기업 이미지 훼손 우려, 탐색 과정에서의 개인정보 노출 가능성, 기업·기관의 인력·예산 부담 등을 고려 과제로 제시했다. 이에 따라 책임 범위를 명확히 하고 단계적으로 제도를 확대하며, 제3기관을 통한 접수·지원과 보안 인력 육성도 병행하겠다고 밝혔다.
한국인터넷진흥원(KISA)에 따르면 지난해 침해사고는 2383건으로 전년 대비 약 26.3% 늘며 증가 추세를 이어갔다. SK텔레콤, KT, 쿠팡 등 대형 사고가 잇따랐고 행정망 해킹 사건도 발생했다. 기존 ISMS, ISMS-P 인증이나 개인정보 보호수준 평가 등 제도가 운영되고 있음에도 사고가 이어졌다.
업계 한 관계자는 “인공지능(AI) 기반 자동화 공격과 공급망 침투가 확산되는 상황에서 내부 인력만으로는 모든 취약점을 선제적으로 발견하기 어렵다”며 “선의의 해킹 범위와 면책 요건, 공개 기준을 정교하게 설계하고 참여 기업·기관의 인센티브도 명확히 해야 제도가 안착될 수 있을 것”이라고 말했다.
박진형 기자 jin@etnews.com
