“합법적으로 뚫어보세요”…국내 첫 보안취약점 상시 신고제 시범사업 실시

국가인공지능(AI)전략위원회, 과학기술정보통신부, 국가정보원, 한국인터넷진흥원(KISA)은 국내 첫 ‘보안취약점 상시 신고조치제’ 시범사업을 추진한다고 28일 밝혔다.

보안취약점 상시 신고조치제는 기업과 기관이 취약점 공개 정책(VDP)을 공개하고, 화이트해커가 정책 범위 안에서 실제 운영망의 취약점을 찾아 신고하는 제도다. 기업과 기관은 신고된 취약점을 조치한 뒤 조율된 취약점 공개(CVD) 방식으로 결과를 공개한다.

기존 모의해킹이나 취약점 신고 포상제가 제품, 가상망, 정해진 기간 중심으로 운영됐다면 이번 제도는 실제 운영망을 포함해 365일 24시간 취약점 탐색을 허용하는 점이 다르다. 정부는 미국과 유럽에서 운영 중인 취약점 공개 제도를 국내에 도입하기 위해 올해 시범사업을 거친 뒤 2027년부터 제도화를 추진한다.

정부는 지난해 연쇄 대형 보안사고를 계기로 상시적이고 선제적인 대응 체계가 필요하다고 판단했다. 국가안보실 주도 범정부 합동 정보보호 종합대책과 국가AI전략위원회 보안특위의 국내 보안취약점 신고·조치·공개 로드맵도 제도 도입 배경이다.

최근 인공지능(AI) 기반 해킹 위협이 현실화하고 있다는 판단에 따라 이번 시범사업에서는 화이트해커의 AI 활용 해킹도 허용한다.

이번 시범사업에는 민간기업 7곳과 공공기관 8곳 등 총 15곳이 참여한다. 민간에서는 통신, 게임, 금융·핀테크, 보안 분야 기업이 참여한다. 참여 기업은 LG유플러스, 넥슨, 엔씨, 토스페이먼츠, 삼성생명, 이스트시큐리티, 잉카인터넷이다.

공공에서는 안전, 보건의료, 전력, 교통, 경제·채용 분야 기관과 서비스가 참여한다. 국민안전24, 건강보험심사평가원, 예방접종도우미, 한전ON, 국가교통정보센터, 사이버검사소, 경제통계시스템, 공공기관 채용정보시스템이 대상이다.

참여 기관과 기업은 실제 운영망이나 제품에 대해 화이트해커의 취약점 탐색 활동을 허용한다. 정부는 국민 생활과 밀접하고 사고 발생 때 대규모 피해가 예상되는 분야를 중심으로 참여 대상을 구성했다고 설명했다.

화이트해커 참가자는 대한민국 국적을 가진 19세 이상이면 누구나 신청할 수 있다. 인원 제한은 없다.

다만 실제 운영망을 대상으로 취약점을 찾는 만큼 안전장치를 둔다. 참여 기관과 기업은 대상 사이트와 허용 범위를 담은 취약점 탐색 정책을 마련한다. 화이트해커는 관련 내용을 숙지하고 사전 윤리교육을 이수해야 한다. 정책 준수 서약, 개인정보 수집·이용 동의, 개인정보 처리 위탁 계약도 필요하다.

참가 접수는 5월 29일부터 6월 12일까지 2주간 진행된다. 6월에는 사전 윤리교육과 참가 승인 절차가 이뤄진다. 취약점 탐색·신고·조치 활동은 11월까지 약 5개월간 진행된다. 최종 발견 취약점과 조치 결과는 연말 공개된다.

정부는 우수 취약점을 발굴한 화이트해커에게 공공과 민간을 합쳐 총 16점의 상장과 2000만원 규모의 상금을 수여할 계획이다.

배경훈 국가AI전략위원회 부위원장 겸 과기정통부 장관은 “AI 시대 보안은 국가 경제와 안보를 지탱하는 핵심 기반”이라며 “미토스 사태가 촉발한 AI 기반의 상시 위협에 대응하기 위해서는 실전적이고 선제적인 보안 체계 도입이 불가피하다”고 말했다.

국정원은 “국가 사이버보안 분야에서 중요 파트너인 화이트해커의 전문성을 통해 국가·공공기관의 잠재적 취약점을 사전에 발굴하고 개선할 수 있기를 기대한다”며 “보안취약점 상시 신고조치제가 조기에 정착할 수 있도록 시범사업 진행에 만전을 기하겠다”고 강조했다.

글. 바이라인네트워크
<곽중희 기자>god8889@byline.network