화이트해커가 상시 점검…국가AI전략위, ‘보안 취약점 신고·조치·공개’ 법제화 추진

Source: Byline Network

배경 및 필요성

대통령 직속 국가인공지능(AI)전략위원회는 25일 열린 제2차 전체회의에서 화이트해커가 기업·기관의 보안 취약점을 상시적으로 찾아 신고하고, 피신고 기관이 조치한 뒤 공개하는 ‘보안 취약점 신고·조치·공개 제도’ 도입 로드맵을 심의·의결했다.

위원회는 기존 보안 제도가 연 1회 점검과 절차 평가에 치우쳐 실시간으로 고도화되는 공격을 막기 어렵다고 설명했다. 정보보호 관리체계(ISMS)와 정보보호 및 개인정보보호 관리체계(ISMS‑P) 인증이 연 1회 점검 중심으로 운영되는 점, 보안적합성 검증과 개인정보 영향평가가 도입 시점 검증 위주로 이뤄지는 점을 문제점으로 지적했다.

이원태 국가AI전략위 보안 TF 리더는 “인증, 공시, 책임자 지정 같은 제도가 있어도 지난해 대규모 보안 사고가 연이어 발생했다”며 “상시 점검 체계로 전환이 시급하다”고 강조했다.

로드맵 및 주요 축

로드맵의 핵심 축은 **조정된 취약점 공개(CVD)**와 **취약점 공개 정책(VDP)**이다.

조정된 취약점 공개(CVD)

취약점 발견 뒤 조치 일정과 공개 범위를 조율해 공개하는 절차를 말한다.

취약점 공개 정책(VDP)

기관이 해킹 허용 범위, 신고 방식 등 운영 원칙을 미리 정해 공개하는 정책이다.

위원회는 미국과 유럽이 이미 해당 제도를 운영하고 있다고 밝혔다. 워너크라이(2017)와 솔라윈즈(2020) 같은 대규모 침해사고가 제도 확산의 배경이 되었으며, AI를 활용한 신종 위협 사례도 언급되었다.

운영 방식 및 규칙

상시 점검 운영 룰

• 대상 기관·기업이 정한 정책 범위 안에서 화이트해커가 정보통신망·서비스 취약점을 탐지·신고
• 피신고 기관은 취약점을 조치한 뒤 공개
• 공개는 화이트해커와 협의해 일정 기간 내 진행
• 기업·기관·화이트해커 실명은 당사자 의사를 고려해 익명 공개 허용

부담 경감 방안

• 영세 기업·기관은 한국인터넷진흥원(KISA)이 1차 신고 접수·선별·기관 전달을 담당
• 취약점 조치 지원 예시: AI 기반 취약점 자동 분석·검증 플랫폼 구축, API 보급

사진: 국가AI전략위원회 공식 유튜브 캡처

지원 및 인센티브

• 공공 부문 – 기관 평가와 연계
• 민간 부문 – 보안인증 가점, 공공조달 연계, 개인정보보호법에 따른 사고 발생 시 과징금 감경 요소 반영
• 화이트해커 – 취약점 신고 포상제 활성화로 참여 유도

추진 일정 (3단계)

1단계: 시범사업 (2026)

• 과학기술정보통신부와 국가정보원이 민간·공공 각각 시범사업 운영
• 5~10개 선도기관을 대상으로 KISA와 화이트해커가 실제 환경에서 실효성 점검

2단계: 참여 확대 (2027)

• 시범 결과를 바탕으로 민간은 과기정통부가 제도 설계·가이드라인을 배포, 공공은 국정원이 동일 역할 수행
• 다른 부처는 과징금·조달 연계 등 참여 유인을 제도화

3단계: 법제화

• 2단계 이후 가능한 이른 시점에 관계 법령 개정 완료 목표
• 검토 대상: 정보통신망법, 개인정보보호법, 국가정보보안 기본지침, 저작권법 지침 등
• 민·형사 리스크 방지 지원 포함

전문가 의견

• 이원태 리더 – “공공 의무화와 민간 참여 유도를 병행하고 상시 취약점 탐지를 허용하는 방향으로 제도를 설계하겠다.”

• 송경희 개인정보보호위원회 위원장 – CVD와 VDP 도입 과정에서 개인정보 보호 측면의 쟁점을 짚으며, “참여 기업의 취약점이 공개될 때 개인정보위 입장에서 처분 여부를 고민하게 된다. 이 과정에서 면책을 할 수 있는 법 규정이 필요하다.”라고 강조하고, 개인정보보호위원회가 제도 추진에 협력하겠다고 밝혔다.

글: 바이라인네트워크