(서울=뉴스1) 이기범 기자 = 누구나 화이트해커로 참여해 기업과 공공 기관의 보안 취약점을 찾아 신고할 수 있는 제도가 마련됐다.
국가인공지능(AI)전략위원회, 과학기술정보통신부, 국가정보원, 한국인터넷진흥원(KISA)은 28일 국내 최초로 '보안 취약점 신고·조치·공개 제도'(보안취약점 상시 신고조치제) 시범 사업을 추진한다고 밝혔다.
보안취약점 상시 신고조치제는 기존 공공기관·민간기업에서 일시적 이벤트 형태로 운영하는 모의해킹, 취약점 신고 포상제와 달리 실제 운영 망을 대상으로 365일, 24시간 화이트해커가 취약점을 탐색해 이를 신고할 수 있도록 한 제도다. 해당 기업 및 기관은 조치 내역을 투명하게 공개해야 한다.
이번 제도는 화이트해커가 취약점을 합법적으로 찾고 신고할 수 있도록 하는 '취약점 공개 정책'(VDP, Vulnerability Disclosure Policy)과 '신고된 취약점을 조치한 이후에 공개하는 정책'(CVD, Coordinated Vulnerability Disclosure)으로 구성됐다. 미국과 유럽 등에서 널리 운영되고 있지만, 그동안 국내에서는 마련되지 않았다.
정부는 지난해 연이은 통신사 및 롯데카드, 쿠팡 등 해킹 사태를 계기로 이번 제도를 포함한 '정보보호 종합대책'과 '국내 보안취약점 신고·조치·공개 로드맵'을 수립했다.
이번 시범 사업은 내년부터 추진될 제도화에 앞서 대국민 인식 제고와 실효성을 사전에 검증하기 위해 마련됐다. 특히 최근 '미토스 쇼크'로 불리는 AI 기반 상시적 해킹 위협이 현실화됨에 따라 화이트해커들의 AI 활용 해킹도 시범 사업에서 허용할 방침이다.
민간에서는 통신사·게임·금융/핀테크 분야 기업들, 공공기관에서는 안전·보건의료·전력·교통 등 대국민 밀접 서비스를 제공하는 기관들이 자발적으로 참여한다. 화이트해커로는 대한민국 국적을 가진 19세 이상 누구나 참가할 수 있다.
오는 29일부터 6월 12일까지 온라인으로 화이트해커 신청 접수를 진행하며, 6월 이후 취약점 탐색·신고·조치 활동이 약 5개월간 지속된다. 발견된 취약점과 조치 결과는 연말에 공개될 예정이며 우수 취약점을 발굴한 화이트해커에게는 상장과 2000만 원 규모의 상금이 수여된다.
배경훈 위원회 부위원장이자 부총리 겸 과학기술정보통신부 장관은 "AI시대 보안은 국가 경제와 안보를 지탱하는 핵심 기반이라며, 미토스 사태가 촉발한 AI 기반의 상시 위협에 대응하기 위해서는 실전적이고 선제적인 보안체계 도입이 불가피하다"며 "이번 시범 사업을 마중물 삼아 보안취약점 상시 신고조치제의 성공적인 도입과 안착 등 투명하고 안전한 K-보안 생태계 조성에 적극 기여하겠다"고 말했다.
Ktiger@news1.kr
