국내 첫 ‘보안취약점 상시 신고조치제’ 시범사업 추진

15개 민간기업·공공기관 참여 국가인공지능전략위원회, 과학기술정보통신부, 국가정보원, 한국인터넷진흥원(KISA)은 국내 최초로 ‘보안 취약점 신고·조치·공개(CVD·VDP) 제도’(이하 보안취약점 상시 신고조치제) 시범 사업을 전격 추진한다고 28일 밝혔다. 이는 실제 운영 망 등에 대해 365일·24시간 화이트해커가 취약점을 탐색할 수 있도록 하는 정책(VDP)을 공개하고, 이를 준수하는 범위 내에서 화이트해커가 취약점을 발굴·신고하면 피신고 기업·기관이 조치 이후 투명하게 공개하는 정책(CVD)이다. 국내와 달리 이미 미국·유럽 등에선 널리 운영되고 있다. 정부는 지난해 연쇄 대형 보안사고를 계기로 이 제도의 국내 도입을 추진 중이다. 이번 시범사업은 내년부터 본격 추진될 제도화에 앞서 대국민 인식 제고 및 실효성 사전 검증 목적으로 추진된다. 최근 미토스발 AI기반 해킹 위협이 현실화됨에 따라, 사업에 참여한 화이트해커들의 AI활용 해킹도 허용할 방침이다. 민간의 경우 통신·게임·금융/핀테크 등 사고발생 시 대규모 피해가 예상되는 분야 기업들이, 공공의 경우 안전·보건의료·전력·교통 등 대국민 밀접 서비스를 제공하는 기관들이 자발적으로 참여해 자사 실제 운영 망·제품 등에 대해 화이트해커의 취약점 탐색 활동을 허용한다. 참가 화이트해커는 한국 국적 보유 19세 이상 누구나 신청할 수 있으며, 인원 규모는 별도 제한을 두지 않는다. 다만 실제 운영 망에 대한 취약점 발견 과정에서 개인정보 유출, 망 운영저해 등 국민·기업의 피해를 방지하기 위해 △기업·기관별 취약점 탐색 허용 정책(대상 사이트, 허용 범위 등) 마련 △화이트해커 관련 내용 숙지와 사전 윤리교육 이수 △해당 정책 준수 서약 및 개인정보 처리 위탁 체결 등의 보완 장치를 마련해 운영해나갈 계획이다. 이달 29일부터 내달 12일까지 2주간 홈페이지를 통해 대국민 참가 희망 화이트해커 접수를 진행한다. 이후 참가자 교육과 승인 절차를 거쳐 6월 이후 본격적인 취약점 탐색·신고·조치 활동을 약 5개월간 지속한다. 최종 발견된 취약점과 조치 결과 등은 연말 공개할 예정이며, 우수 취약점을 발굴한 화이트해커에겐 공공·민간을 통틀어 총 16점의 상장과 2000만원 규모의 상금을 수여하는 등 격려 체계도 운영한다. 배경훈 AI전략위 부위원장이자 부총리 겸 과기정통부 장관은 “이번 시범사업을 마중물 삼아 보안취약점 상시 신고조치제의 성공적인 도입과 안착 등 투명하고 안전한 K-보안 생태계 조성에 적극 기여하겠다”고 말했다. 국정원도 “국가 사이버보안 분야에서 중요 파트너인 화이트해커의 전문성을 통해 국가·공공기관의 잠재적 취약점을 사전에 발굴·개선할 수 있길 기대한다”고 전했다.