화이트해커가 상시 점검…국가AI전략위, ‘보안 취약점 신고·조치·공개’ 법제화 추진

2026년 시범사업 후 참여 확대, 공공 의무화 추진…개인정보위 “공개 과정 면책 규정 필요”

대통령 직속 국가인공지능(AI)전략위원회는 25일 열린 제2차 전체회의에서 화이트해커가 기업·기관의 보안 취약점을 상시적으로 찾아 신고하고, 피신고 기관이 조치한 뒤 공개하는 ‘보안 취약점 신고·조치·공개 제도’ 도입 로드맵을 심의·의결했다고 밝혔다.

위원회는 기존 보안 제도가 연 1회 점검과 절차 평가에 치우쳐 실시간으로 고도화되는 공격을 막기 어렵다고 설명했다. 정보보호 관리체계(ISMS)와 정보보호 및 개인정보보호 관리체계(ISMS-P) 인증이 연 1회 점검 중심으로 운영되는 점을 예로 들었다. 보안적합성 검증과 개인정보 영향평가가 도입 시점 검증 위주로 이뤄지는 점도 언급했다.

이원태 국가AI전략위 보안 TF 리더는 “인증, 공시, 책임자 지정 같은 제도가 있어도 지난해 대규모 보안 사고가 연이어  발생했다”며 “상시 점검 체계로 전환이 시급하다”고 강조했다.

로드맵의 축은 조정된 취약점 공개(CVD)와 취약점 공개 정책(VDP)이다. 조정된 취약점 공개는 취약점 발견 뒤 조치 일정과 공개 범위를 조율해 공개하는 절차다. 취약점 공개 정책은 기관이 해킹 허용 범위, 신고 방식 같은 운영 원칙을 미리 정해 공개하는 정책이다.

위원회는 미국과 유럽이 이미 해당 제도를 운영하고 있다고 밝혔다. 워너크라이(2017)와 솔라윈즈(2020) 같은 대규모 침해사고가 제도 확산의 배경이 됐다고 설명했다. AI를 활용한 신종 위협이 확산하는 사례도 언급했다.

도입 방식은 단계적으로 구성했다. 초기에는 참여 기업·기관을 모집해 운영한다. 이후 공공은 의무화를 추진한다. 민간은 공공조달 연계로 참여를 넓힌다는 방침이다.

유인책도 제시했다. 공공은 기관 평가와 연계를 언급했다. 민간은 보안인증 가점, 공공조달 연계, 개인정보보호법에 따른 사고 발생 시 과징금 감경 요소 반영을 포함했다. 화이트해커 참여는 취약점 신고 포상제 활성화로 유도한다는 계획이다.

상시 점검 운영 룰 제시조치 뒤 공개, 실명은 익명 공개 허용

상시 점검의 운영 방식도 제시했다. 대상 기관·기업이 정한 정책 범위 안에서 화이트해커가 정보통신망과 서비스 취약점을 탐지해 신고하는 구조다. 피신고 기관은 취약점을 조치한 뒤 공개한다. 공개는 화이트해커와 협의해 일정 기간 안에 진행하는 방식으로 잡았다. 기업·기관·화이트해커 실명은 당사자 의사를 고려해 익명 공개를 허용하는 방안도 포함했다.

위원회는 제도 운영 부담도 고려했다고 밝혔다. 영세 기업·기관은 한국인터넷진흥원(KISA)이 1차 신고 접수와 선별, 기관 전달을 맡는 방안을 제시했다. 취약점 조치 지원도 병행한다. 지원 예시로 AI 기반 취약점 자동 분석·검증 플랫폼 구축과 애플리케이션 프로그래밍 인터페이스(API) 보급을 적시했다.

사진=국가AI전략위원회 공식 유튜브 캡처

추진 일정은 3단계다. 1단계는 시범사업이다. 2026년에 과학기술정보통신부와 국가정보원이 민간과 공공에서 각각 시범사업을 운영한다. 시범사업은 5~10개 선도기관을 대상으로 한다. KISA와 화이트해커가 참여해 실제 환경에서 실효성을 점검한다는 계획이다.

2단계는 참여 확대다. 2027년에는 시범 결과를 바탕으로 민간은 과기정통부가 제도 설계와 가이드라인을 마련해 배포한다. 공공은 국정원이 같은 역할을 맡는다. 다른 부처는 과징금과 조달 연계 같은 참여 유인을 제도화한다.

3단계는 법제화다. 위원회는 2단계 이후 가능한 이른 시점에 관계 법령 개정을 완료하겠다고 밝혔다. 정비 검토 대상으로 정보통신망법, 개인정보보호법, 국가정보보안 기본지침, 저작권법 지침을 적시했다. 민·형사 리스크 방지 지원도 포함했다.

이 리더는 “공공 의무화와 민간 참여 유도를 병행하고 상시 취약점 탐지를 허용하는 방향으로 제도를 설계하겠다”고 밝혔다.

한편, 송경희 개인정보보호위원회 위원장은 CVD와 VDP 도입 과정에서 개인정보 보호 측면의 쟁점을 짚었다. 송 위원장은 “참여한 기업들의 취약점이 공개될 때 개인정보위 입장에서는 처분을 해야 하나 고민할 수밖에 없다”며 “이 과정에서 면책을 할 수 있는 법 규정이 필요하다”고 말했다. 아울러 “개인정보위가 제도 추진 과정에 협력하겠다”고 덧붙였다.

이와 관련해 이 리더는 “면책이나 인센티브 제도를 잘 구성해 참여 기업 입장에서 문제가 없도록 하겠다”고 말했다.

글. 바이라인네트워크
<곽중희 기자> god8889@byline.network

일간 바이라인 구독하기

답글 남기기

이메일 주소는 공개되지 않습니다. 필수 필드는 *로 표시됩니다


The reCAPTCHA verification period has expired. Please reload the page.