8일 서울 신라호텔에서 정보보호의 날 부대행사로 열린 ‘AI 보안 레드팀 및 보안 취약점 신고·조치·공개 제도(CVD/VDP) 심포지엄’에서 전문가들이 CVD/VDP 발전 방향을 모색하는 패널 토의를 하고 있다. (출처=바이라인네트워크)
|

‘취약점 상시 신고제’ 법제화 논의 속도 낸다

인공지능(AI) 모델이 취약점 탐색과 공격 코드 작성을 자동화하면서, 기업과 보안 연구자(해커)가 보안 취약점을 합법적으로 찾아 고치는 제도를 법으로 뒷받침하려는 움직임이 빨라지고 있다.

지난 8일 서울 신라호텔에서 열린 제15회 정보보호의 날 부대행사 ‘AI 보안 레드팀·보안 취약점 신고·조치·공개 제도(CVD/VDP) 심포지엄’에서는 CVD/VDP 시범사업 현황과 국내외 제도 동향, 연구자 면책과 기업 인센티브 등을 포함한 법제화 방향을 두고 논의가 이어졌다.

이날 심포지엄에 참석한 윤인수 한국과학기술원(KAIST) 교수는 “과거에는 발견되지 않은 채 남아 있는 취약점이 많았고, 이를 실제 공격으로 전환하는 데도 상당한 시간과 기술이 필요했다”며 “하지만 이제는 AI가 취약점을 분석해 빠르게 공격 코드를 만들 수 있는 만큼, 취약점을 적극적으로 찾아 고치는 문화가 필요하다”고 강조했다. 아울러 그는 “취약점이 많이 발견됐다는 이유만으로 해당 기업의 보안 수준이 낮다고 단정하는 인식도 바뀌어야 한다”고 덧붙였다.

국내 취약점 상시 신고제, 이제 걸음마’ 단계

‘조정된 취약점 공개(CVD)’는 기업과 화이트 해커가 취약점을 발견하고 신고한 뒤 조치와 공개 시점을 협의하는 체계다. ‘취약점 공개 정책(VDP)’은 기업이 해커에게 허용하는 점검 대상과 방법, 금지행위, 신고 절차, 정보 공개 기준을 미리 정한 규칙이다.

기업이 VDP를 공개하면 해커는 해당 규칙을 확인한 뒤 허용된 범위에서 취약점을 찾는다. 취약점이 발견되면 기업과 해커, 조정기관이 내용을 검증하고 패치와 공개 시점을 조율한다.

취약점마다 보상금을 지급하는 버그바운티와는 성격이 조금 다르다. 버그바운티는 취약점 발견에 대한 금전적 보상에 초점을 맞춘다. CVD·VDP는 취약점의 신고와 검증, 조치, 공개를 상시 운영하는 절차에 무게를 둔다.

이태승 KISA AI취약점대응팀 연구위원은 “CVD의 출발점은 기업이 공개하는 VDP”라며 “해커는 VDP를 보고 취약점 탐색이 허용된 기업과 점검 범위, 지켜야 할 사항을 확인할 수 있다”고 말했다.

KISA는 현재 민간기업 7곳과 공공기관 8곳을 대상으로 CVD·VDP 시범사업을 운영하고 있다. 19세 이상 대한민국 국민은 교육과 보안서약, 개인정보 처리 위탁계약 등의 절차를 거쳐 참여할 수 있다.

참가자는 기업·기관이 공개한 VDP에 따라 실제 운영 중인 서비스와 시스템의 취약점을 찾는다. 신고는 7월 24일까지 받는다. 이후 KISA와 참여 기관이 취약점의 유효성을 검증하고 조치한다. 11월에는 우수 신고자를 포상하고 시범사업 성과를 공유할 예정이다.

취약점별 포상금은 지급하지 않는다. KISA는 시범사업 기간에 접수한 신고의 내용과 해커의 규칙 준수 여부 등을 종합해 우수 신고자를 선정한다.

해커 면책만으로는 부족기업 혜택도 검토

최근 CVD와 VDP를 제도화하는 연구의 초점은 ‘기업이 공개한 규칙을 지킨 해커를 어디까지 보호할 것인지’에 있다. 현행법에서는 기업의 명확한 허가 없이 정보통신망에 접속해 취약점을 찾으면 침입 행위로 해석될 가능성이 있다. 취약점을 확인하는 과정에서 개인정보가 화면에 나타나거나 일부 정보가 저장되면 개인정보 유출에 해당하는지를 두고도 논란이 생길 수 있다.

해커가 선의로 활동했더라도 수사나 재판을 거쳐 정당성을 입증해야 한다면 제도에 참여하기 어렵다. 기업도 해커의 접근을 침해사고나 개인정보 유출로 신고해야 하는지 판단하기 어려워 외부 점검을 허용하기 부담스럽다.

CVD·VDP의 법제화 방향을 연구하고 있는 유진호 상명대학교 교수 연구진은 ‘정보통신망 이용촉진 및 정보보호 등에 관한 법률(정보통신망법)’에 CVD·VDP 개념과 운영 절차를 반영하는 방안을 검토하고 있다. 기업이 공개해야 할 취약점 처리 방침과 해커의 준수사항, 취약점 접수·검증·패치·공개 절차를 법과 하위 지침에 담는 방향이다.

기업이 정한 범위와 절차를 지킨 해커를 법적으로 보호하는 방안도 연구한다. 다만 모든 취약점 탐색 행위를 일괄적으로 면책하는 방식이 아니라 점검 범위와 비밀유지, 신속한 신고, 확보한 정보의 파기 등 조건을 지킨 경우에만 보호하는 구조다.

참여 기업에 대한 혜택도 검토 대상이다. 유 교수는 VDP를 운영하고 취약점을 지속해서 관리한 기업이 이후 침해사고를 당하면 과징금이나 과태료, 손해배상 책임을 줄이는 방안을 아이디어로 제시했다.

면책 확대보다 명확한 경계가 먼저

현장에서는 해커의 면책 범위를 넓히는 것보다 허용되는 행위의 경계를 명확하게 정하는 일이 먼저라는 의견도 나왔다.

이종호 비바리퍼블리카 보안기술총괄은 “제도화의 핵심은 면책을 넓히는 것이 아니라 해커와 기업이 예측할 수 있는 명확한 경계를 설정하는 것”이라고 설명했다.

그는 제품과 온라인 서비스에 같은 취약점 공개 원칙을 적용하기 어렵다는 점도 짚었다. 제품은 고객에게 배포된 뒤 사용자가 패치를 적용해야 하지만, 온라인 서비스는 기업이 서버를 수정하면 취약점 조치가 끝날 수 있다. 이 경우 상세한 공격 재현 방법을 공개하면 다른 공격자가 악용할 가능성이 커질 수 있다.

기업마다 다른 VDP를 만들면 해커가 매번 규칙을 새로 확인해야 한다는 문제도 있다. 이 총괄은 공통 표준을 마련하고 조정기관이 유효하지 않은 신고를 걸러 기업의 업무 부담을 줄여야 한다고 설명했다.

박찬암 스틸리언 대표는 “제도의 강제 적용 범위를 최소화해야 한다”고 의견을 냈다. 보안 담당자는 이미 개인정보 보호와 주요정보통신기반시설 점검, 보안 인증 등에 대응하고 있어 CVD·VDP까지 의무화하면 부담이 커질 수 있다는 것이다.

이어 박 대표는 “의무를 늘리는 대신 참여 기업에 확실한 혜택을 제공해 자발적인 도입을 유도해야 한다”고 말했다. 아울러 “해커에게도 어떤 절차와 보안 규칙을 지키면 법적 보호를 받을 수 있는지 명확하게 알려야 한다”고 덧붙였다.

취약점 숫자로 기업 보안 평가해선 안 돼

기업들은 외부 해커가 내부 보안팀이 찾지 못한 사각지대를 발견할 수 있다는 점을 CVD·VDP의 장점으로 꼽고 있다. 다만 신고된 취약점을 검증하고 위험도를 분류한 뒤 개발부서와 협의해 패치하려면 별도의 인력과 비용이 필요한 한계도 있다.

LG유플러스 최고정보보호책임자(CISO) 홍관희 전무는 “취약점이 많이 나왔다는 이유만으로 해당 기업의 보안이 취약하다고 판단해서는 안 된다”며 “CVD·VDP에 먼저 참여하는 기업은 취약점을 공개하고 조치할 역량이 있기 때문에 참여하는 것”이라고 우려했다.

취약점 위험도를 평가하는 공통 기준도 필요하다. 같은 취약점을 두고 해커는 심각하다고 판단하지만 기업은 실제 위험이 낮다고 볼 수 있다. 조정기관이 등급 기준과 분쟁 조정 절차를 마련해야 하는 이유다.

공공기관도 공개와 후속 조치에 부담을 느끼고 있다. 예산과 사업 일정, 시스템 구조 때문에 발견한 취약점을 즉시 고치기 어려운 경우가 있기 때문이다.

박동욱 한국교통안전공단 과장은 “외부 해커가 다양한 관점에서 찾아낸 취약점의 양과 보고서 품질이 내부 점검보다 뛰어날 때가 있다”면서도 “시범사업에서 기관이 정한 범위를 벗어난 탐색도 발생하고 있어 VDP 규칙을 지켜야 한다”고 말했다.

박 과장은 공공기관의 모든 시스템을 한꺼번에 개방하기보다 중요도에 따라 대상을 분류하고 점진적으로 범위를 넓혀야 한다는 의견을 제시했다.

‘해커의 선의보다 규칙 지켰는지 봐야

법률 전문가들은 취약점을 찾는 해커의 주관적인 의도보다 실제 행동을 기준으로 보호 여부를 판단해야 한다고 봤다.

손태진 법무법인 선우 변호사는 “선의와 악의를 사후에 구분하기 어렵다”며 “VDP 안에 허용 행위와 금지행위를 구체적으로 담아야 한다”고 강조했다.

현행법 해석만으로도 해커의 행위를 정당한 것으로 인정할 여지는 있다. 하지만 최종 판단을 받으려면 수사와 재판을 거쳐야 할 수 있다. 결과를 예측하기 어려운 법적 불확실성을 줄이려면 법률에 기준을 명시해야 한다는 설명이다.

기업이 제도를 형식적으로 운영할 가능성도 고려해야 한다. CVD·VDP를 의무화하면 기업이 취약점이 발견될 가능성이 낮은 시스템만 점검 대상으로 지정할 수 있다. 의무 적용 범위를 지나치게 좁게 정하면 제도의 실효성이 떨어지고, 반대로 넓게 정하면 기업의 대응 부담이 커진다.

손태진 법무법인 선우 변호사는 “해커의 선의를 마음속 의도가 아닌 행위로 평가해야 한다”고 강조했다. 기업이 공개한 범위와 신고 절차를 지켰다면 보호하고, 이를 벗어났다면 조정기관이 제재할 수 있어야 한다는 것이다.

그는 “CVD·VDP 법제화 논의의 방향은 모든 해킹 행위를 허용하는 데 있지 않다”며 “기업은 외부 해커가 점검할 수 있는 범위를 공개하고, 해커는 그 범위 안에서 취약점을 찾아야 하며, 조정기관은 신고의 유효성을 검증하고 기업과 해커 사이의 분쟁을 조율해야 한다. 이 균형이 잘 이뤄져야 제도의 실효성이 발휘될 것”이라고 강조했다.

글. 바이라인네트워크
<곽중희 기자>god8889@byline.network

일간 바이라인 구독하기

답글 남기기

이메일 주소는 공개되지 않습니다. 필수 필드는 *로 표시됩니다


The reCAPTCHA verification period has expired. Please reload the page.