AI가 생성한 이미지

<이미지를 클릭하시면 크게 보실 수 있습니다>

정부가 보안 강화를 위해 화이트해커의 취약점 신고를 제도권 안으로 끌어들인다. 기존 사후 대응 중심의 정보보안 체계를 사전 예방 체계로 전환하기 위한 조치다. 화이트해커가 기업·기관의 보안 취약점을 상시 발굴·신고하고, 피신고 기관은 이를 조치한 뒤 공개하는 '보안 취약점 신고·조치·공개 제도(CVD·VDP)' 도입이 핵심이다.

국가인공지능전략위원회는 25일 이 같은 내용을 담은 'CVD·VDP 제도 도입 로드맵'을 심의·의결하고 하반기 시범사업을 진행한다고 밝혔다. 현행 정보보안 제도가 연 1회 점검과 체크리스트 중심의 절차 평가에 머물러 실시간·상시적으로 고도화되는 해킹 위협에 대응하기 어렵다는 판단에서다.

그동안 국내에서는 정보통신망 침입 행위가 선의의 목적이라도 불법으로 간주돼 제도 운영이 어려웠다. 현재는 정보통신망이 아닌 제품(SW)만을 대상으로 한 취약점 신고 포상제가 분기별로 운영되고 있다. 신고된 취약점에 대한 조치 강제력은 없다.

정부는 화이트해커가 기업·기관이 사전에 공개한 정책 범위 내에서 모든 정보통신망과 서비스의 취약점을 상시 탐지·신고할 수 있도록 제도화한다는 방침이다. 기업·기관은 신고된 취약점을 조치한 뒤 일정 기간 내 공개한다. 공개 과정에서 기업·기관 및 화이트해커 실명은 본인 의사를 고려해 익명 처리도 허용한다.

제도 도입은 3단계로 추진된다. 우선 올해 하반기 민간 분야는 과학기술정보통신부, 공공 분야는 국가정보원 주도로 시범사업을 실시해 제도 효과를 검증한다. 2027년에는 시범사업 결과를 토대로 제도 설계와 가이드라인을 마련하고, 이후 정보통신망법·개인정보보호법 등 관계 법령 개정을 통해 공공 의무화와 민간 전면 참여를 뒷받침한다는 계획이다.

참여 유인책도 마련한다. 공공은 기관 평가와 연계하고, 민간은 보안인증 가점과 공공조달 우대, 개인정보보호법상 사고 발생 시 과징금 감경 요소 반영 등을 추진한다. 화이트해커에 대해서는 신고 포상제를 활성화해 초기 참여를 유도한다. 또 관계 법령을 정비해 화이트해커가 민·형사 처벌 우려를 해소한다.

정부는 취약점 공개로 인한 기업 이미지 훼손 우려, 탐색 과정에서의 개인정보 노출 가능성, 기업·기관의 인력·예산 부담 등을 고려 과제로 제시했다. 이에 따라 책임 범위를 명확히 하고 단계적으로 제도를 확대하며, 제3기관을 통한 접수·지원과 보안 인력 육성도 병행하겠다고 밝혔다.

한국인터넷진흥원(KISA)에 따르면 지난해 침해사고는 2383건으로 전년 대비 약 26.3% 늘며 증가 추세를 이어갔다. SK텔레콤, KT, 쿠팡 등 대형 사고가 잇따랐고 행정망 해킹 사건도 발생했다. 기존 ISMS, ISMS-P 인증이나 개인정보 보호수준 평가 등 제도가 운영되고 있음에도 사고가 이어졌다.

화이트해커 업체 티오리의 박세준 대표는 “제도가 실효성을 갖기 위해서는 사명감에 기대지 않는 실질적 보상 체계, 정책 범위 내 선의적 활동에 대한 명확한 법적 면책, 그리고 공개 기한의 구체적 데드라인 설정이 필요하다”고 조언했다.

박찬암 스틸리언 대표는 “지난해 대규모 해킹 사고로 기업들의 해킹 취약점 점검 수요가 커졌지만, CVD·VDP 제도 정착을 위해서는 제도에 대한 긍정적 인식 전환을 이끌어내야 한다”고 말했다.

CVD·VDP 제도 개요

<이미지를 클릭하시면 크게 보실 수 있습니다>

추진 로드맵

<이미지를 클릭하시면 크게 보실 수 있습니다>

박진형 기자 jin@etnews.com

[Copyright © 전자신문. 무단전재-재배포금지]