앤트로픽 '클로드 미토스' 등 사이버 보안 특화 인공지능(AI) 모델이 개발되고 성능이 고도화되는 시대를 대비, 보안 취약점 상시 신고제를 즉각 제도화해야 한다는 의견이 나왔다.
국가AI전략위원회 보안특별위원회는 18일 서울 중구 위원회에서 산업계·학계·법조계와 세미나를 열고 '보안취약점 상시 신고조치제' 제도를 구체화하기 위한 방안을 논의했다.
현재 화이트해커가 15개 기업·기관을 대상 허용된 범위 내에서 취약점 탐색·신고·조치를 진행하는 '보안 취약점 신고·조치·공개(CVD/VDP)' 시범사업을 조속히 제도화해야 한다는 의견이 모아졌다.
김진수 한국정보보호산업협회 회장은 “사후 중심 방어체계가 무력화된 상황에서 365일 24시간 운영망 취약점을 확인하는 CVD/VDP 제도 도입을 환영한다”면서도 “시범사업 이후 제도화를 추진하면 AI 시대 대응이 어려운 만큼 정부가 제도화를 병행, 신속하게 제도를 도입해야 한다”고 강조했다.
미토스가 촉발한 AI의 사이버 침해 가능성을 고려, 화이트해커가 기업·기관 실제 운영망 등에서 취약점을 상시 탐색하고 신고할 수 있도록 연내 제도화, 공공·민간 전반으로 확산해야 한다는 취지다. 해커 등 사이버 공격자가 AI를 24시간 활용 가능한 상황을 고려할 때 제도화가 시급하다는 것이다.
화이트해커를 통해 개인정보 유출 등 취약점이 발견되더라도 문제 삼지 않는 법적 면책체계와 보안 책임자에게 모든 책임을 지우는 게 아닌 기업 전반의 책임으로 인식 전환, 국가정보원·과학기술정보통신부·금융보안원 등 산재해 있는 일회성 보안 적합성 평가 일원화 등도 동시에 요구됐다.
구동연 로그프레소 전무는 “보안 취약점 상시 탐색·조치를 위해 화이트해커 실력이 중요하다는 점에서 교육 이수 등 진입장벽을 낮추고 조직과 해외 연구자도 참여시켜야 한다”며 “기업마다 취약점 탐색 허용 정책을 별도로 수립하는 게 번거로운 만큼 공통 기준을 제시해 문턱을 낮춰야 한다”고 주문했다.
화이트해커가 안심하고 취약점을 탐색할 수 있도록 정보통신망법·개인정보보호법 등 관계 법령 개정 필요성도 제기됐다.
국가AI전략위와 과학기술정보통신부는 보안취약점 상시 신고조치제 제도화를 조속히 추진하고, 이를 바탕으로 흔들림 없는 국가 사이버 방어망을 구축할 계획이다.
이원태 국가AI전략위 보안특별위원장은 “AI가 만들어내는 보안 위협은 제도 준비가 완료될 때까지 기다려주지 않는다”며 “사이버 위협 속도와 규모가 과거와 비교할 수 없는 수준으로 확대되는 만큼 시범사업을 제도화를 전제로 한 실증단계로 전환해야 할 시점”이라고 말했다.
박종진 기자 truth@etnews.com
