정부, 보안 취약점 제보제 시범 도입…화이트해커 합법화 길 열린다

(서울=뉴스1) 김민재 기자 = 앞으로 화이트해커가 처벌받을 우려 없이 기업·기관의 보안 취약점을 발견해 신고할 수 있게 된다.

18일 국가인공지능(AI)전략위원회가 최근 국무회의에 보고한 내용에 따르면 정부는 '취약점 신고·조치·공개제도'를 올해 시범사업으로 도입한다.

정부는 이 제도를 통해 공공기관 보안 취약점 제보를 활성화하고 개인정보 유출과 인공지능(AI) 기반 사이버 위협 등에 선제 대응할 방침이다.

현행 정보통신망 이용촉진 및 정보보호 등에 관한 법률(정보통신망법)은 정당한 권한 없는 정보통신망 침입을 원천 금지한다.

이 때문에 선의의 목적으로 시스템에 접근해 취약점을 탐색하고 알리는 화이트 해커 활동도 불법으로 분류됐다.

그간 보안 업계에서는 대규모 해킹 사고를 막을 수 있는 민간 역량을 낡은 규제가 막고 있다며 제도 개선을 요구했다.

보안 당국은 관련 규제를 완화해 화이트해커 활동을 단계적으로 양지화한다. 국가 차원에서 화이트해커가 활동할 수 있는 합법적 공간을 열어주겠다는 것이다.

정부는 미국 국방부와 사이버보안국(CISA) 등이 운영 중인 '취약점 제보 프로그램'(VDP)을 벤치마킹했다.

구글과 애플 등 글로벌 빅테크 기업은 '버그바운티'(보안 취약점 신고 포상제)를 통해 외부 전문가 협력 생태계를 구축하기도 했다.

국가AI전략위는 지난해 말 해커 240만 명가량이 활동하는 플랫폼 '해커원' 등 민간 전문가 그룹과 제도 실행 방안을 논의했다.

정부는 다음 달까지 미국과 유럽연합(EU)의 제도를 참고해 세부 로드맵을 마련하고, 연내 시범 사업에 착수할 예정이다.

시범 운영으로 안정성을 검증한 뒤 내년에 정보통신망법 등 관련 법·제도를 개정해 정식 보안 체계로 안착시킨다는 계획이다.

minjae@news1.kr