정부와 민·관이 실제 운영 망을 대상으로 모의해킹, 보안 취약점 파악에 나선다. 대한민국 만 19세 이상 국민이면 누구나 모의해킹에 참여할 수 있다. 지난해 통신사 해킹 등 대형 보안 사고에 이어 '미토스 쇼크' 등 AI로부터의 보안 위협이 가시화됨에 따라 선제적으로 보안 강화에 나섰다.
28일 국가AI전략위원회(위원회), 과학기술정보통신부(과기정통부), 국가정보원(국정원), 한국인터넷진흥원(KISA)는 안전하고 투명한 보안 생태계 구축을 위해 국내 최초로 '보안 취약점 신고·조치·공개(CVD/VDP) 제도 시범 사업을 추진한다고 밝혔다.
기존 모의해킹은 공공기관·민간기업 등에서 일시적으로 만든 제품이나 가상 망을 대상으로 했다. 그러나 이번에는 실제 기업·기관이 운영하고 있는 홈페이지나 네트워크가 대상이다. 이번 시범사업에 참여할 정보보호 연구자, 즉 화이트 해커들은 해당 홈페이지나 망 등에 대해 365일·24시간 취약점을 탐색(VDP)하고, 취약점을 발굴·신고하면 해당 기업이나 기관이 조치 이후 공개(CVD)하게 된다. 이 제도는 이미 미국·유럽 등에 널리 운영되고 있으나 국내에선 처음이다.
시범 사업에 참여사는 총 15개로, 민간 기업 7곳과 정부 기관 8곳이다. 이통사 중에서는 LG유플러스, 게임사는 넥슨과 NC, 금융·핀테크 기업은 토스페이먼츠, 삼성생명, 보안업체 중에서는 이스트시큐리티, 잉카인터넷이 참여한다. 그중 넥슨은 홈페이지와 과금 시스템을 비롯해 마비노기, 메이플스토리, FC온라인 등 인기 게임 홈페이지까지 광범위하게 화이트 해커의 취약점 탐색 활동을 허용했다. 정부 기관은 행정안전부, 건강보험심사평가원, 한국전력 등이 참여한다.
화이트해커는 대한민국 국적을 보유한 19세 이상이면 누구나 참여 가능하다. 다만 혹시 모를 개인정보 유출, 망 운영저해 등 피해 방지 차원에서 취약점 탐색 허용 사이트와 범위를 제한하고, 사전 윤리교육, 정책 준수 서약 등 보완 장치를 마련했다.
정부는 이번 시범 사업을 계기로 내년부터 '보안 취약점 신고·조치·공개' 제도를 본격 추진한다. 정부는 지난해 10월 '정보보호 종합대책에 이어 올해 2월 AI전략위 보안특위에서 '국내 보안취약점 신고·조치·공개 로드맵'을 수립하는 등 해당 제도의 국내 도입을 추진해왔다.
국가AI전략위 관계자는 "실제 사용 중인 망이나 홈페이지를 대상으로 취약점 탐색을 하는 사례는 국내에서는 이번이 처음"이라면서 "기존 모의해킹은 가상의 망에서 이뤄졌는데 사고는 실제 사용하는 망에서 벌어진다. 감사하게도 기업과 기관이 원만하게 협조를 해 시범사업을 하게 됐다"고 말했다.
과기정통부는 오는 29일부터 6월12일까지 2주간 홈페이지(https://www.cvdvdp.kr)에서 화이트 해커를 모집한다. 이후 참가자 교육과 승인 절차를 거쳐 6월부터 5개월 간 취약점 탐색활동이 이뤄진다. 발견된 취약점과 조치 결과는 연말 공개하고, 우수 취약점을 발굴한 화이트해커들은 총 16점의 상장과 2000만원 규모의 상금을 받게 된다.
배경훈 위원회 부위원장이자 부총리 겸 과학기술정보통신부 장관은 "미토스 사태가 촉발한 AI기반의 상시 위협에 대응하기 위해 실전적이고 선제적인 보안체계 도입이 불가피하다"면서 "이번 시범 사업을 마중물 삼아 투명하고 안전한 K-보안 생태계 조성에 기여하겠다"고 밝혔다.