19세 이상이면 누구나 화이트해커 활동 가능
NC, 넥슨 등 게임회사와 이통사, 금융사 망 접속해 모의해킹하고 취약점 탐색
정부와 민·관이 실제 운영 망을 대상으로 모의해킹, 보안 취약점 파악에 나선다. 또 이에 참여할 화이트 해커도 만 19세 이상이면 누구나 참여할 수 있게 문을 개방했다. 지난해 통신사 해킹 등 연달아 대형 보안 사고가 터지고, 최근 '미토스 쇼크' 등 AI로부터의 보안 위협도 가시화됨에 따라 전향적으로 보안 강화에 나서게 됐다.
28일 국가인공지능전략위원회(위원회), 과학기술정보통신부(과기정통부), 국가정보원(국정원), 한국인터넷진흥원(KISA)는 안전하고 투명한 보안 생태계 구축을 위해 국내 최초로 '보안 취약점 신고·조치·공개[CVD(Coordinated Vulnerability Disclosure)/VDP(Vulnerability Disclosure Policy)] 제도 시범 사업을 추진한다고 밝혔다.
기존에는 공공기관·민간기업 등에서 일시적 이벤트 형태로 제품·가상 망을 대상으로 모의해킹이나, 취약점 신고 포상제(분기별)를 실시했다. 그러나 보안취약점 상시 신고조치제는 실제 운영 망에 대해 365일·24시간 선의의 정보보호 연구자('화이트해커')가 취약점을 탐색할 수 있도록 하는 정책(VDP)과, 이를 준수하는 범위 내에서 화이트해커가 취약점을 발굴·신고하면 피신고 기업/기관이 조치 이후 투명하게 공개하는 정책(CVD)이다. 이미 미국·유럽 등에 널리 운영되고 있었으나 국내에는 도입되지 않았다.
정부는 지난해 연쇄 대형 보안사고를 계기로 상시적이고 선제적, 실전형 대응 체계의 필요성을 인식하고 동 제도를 포함한 '정보보호 종합대책('25.10월, 국가안보실 주도 범정부 합동)과 '국내 보안취약점 신고·조치·공개 로드맵('26.2월, AI전략위원회 보안특위)를 수립하는 등 해당 제도의 국내 도입을 추진 중이다.
이번 시범 사업은 내년 본격 추진될 제도화에 앞서 대국민 인식 제고와 그 실효성을 사전에 검증하기 위한 목적이다. 특히 최근 미토스發 AI기반 상시적 해킹 위협이 현실화 됨에 따라, 실전적·상시적 방어 역량 향상을 위해 참여 화이트해커들의 AI 활용 해킹도 시범 사업에서 허용할 방침이다.
참여 기관·기업은 총 15개다. 민간 기업이 7개(LG유플러스(15,000원 ▼140 -0.92%), 넥슨, NC(280,000원 ▲2,500 +0.9%), 토스페이먼츠, 삼성생명(353,500원 ▼1,000 -0.28%), 이스트시큐리티, 잉카인터넷), 공공기관(행안부, 심평원, 질병청, 한국전력 등)이 8곳 참여한다. 민간의 경우 통신사·게임·금융/핀테크 등 사고발생 시 대규모 피해가 예상되는 분야 기업들이, 공공의 경우 안전·보건의료·전력·교통 등 대국민 밀접 서비스를 제공하는 기관들이 자발적으로 참여해 화이트해커의 취약점 탐색 활동을 허용한다.
정보보호연구자, 즉 화이트해커는 대한민국 국적 보유 19세 이상 누구나 참여 가능하다. 인원 규모는 별도 제한을 두지 않는다. 다만 실제 운영 망에 대한 취약점 발견 과정에서 개인정보 유출, 망 운영저해 등 국민·기업의 피해를 방지하기 위해 △ 기업/기관별 취약점 탐색 허용 정책(대상 사이트, 허용 범위 등) 마련 △ 화이트해커 관련 내용 숙지와 사전 윤리교육 이수 △ 해당 정책 준수 서약 및 개인정보 처리 위탁 체결 등 보완 장치를 마련해 운영해 나갈 계획이다.
독자들의 PICK!
추진 일정은 오는 29일부터 6월12일까지 2주간 홈페이지(https://www.cvdvdp.kr)를 통해 대국민 참가 희망 화이트해커 접수를 진행한다. 이후 참가자 교육과 승인 절차를 거쳐 6월 이후 본격적인 취약점 탐색/신고/조치 활동이 약 5개월간 지속된다. 최종 발견된 취약점과 조치 결과 등은 연말 공개될 예정이며 우수 취약점을 발굴한 화이트해커에게는 공공과 민간을 통틀어 총 16점의 상장과 2000만 원 규모의 상금 수여 등 격려 체계도 운영한다.
배경훈 위원회 부위원장이자 부총리 겸 과학기술정보통신부 장관은 "AI시대 보안은 국가 경제와 안보를 지탱하는 핵심기반"이라며 "미토스 사태가 촉발한 AI기반의 상시 위협에 대응하기 위해서는 실전적이고 선제적인 보안체계 도입이 불가피 하다"고 강조했다. 아울러 "이번 시범 사업을 마중물 삼아 보안취약점 상시 신고조치제의 성공적인 도입과 안착 등 투명하고 안전한 K-보안 생태계 조성에 적극 기여하겠다"고 밝혔다.
국정원도 "국가 사이버보안 분야에서 중요 파트너인 화이트해커의 전문성을 통해, 국가·공공기관의 잠재적 취약점을 사전에 발굴하고 개선할 수 있기를 기대한다"며 "보안취약점 상시 신고조치제가 조기에 정착할 수 있도록 시범 사업 진행에 만전을 기하겠다"고 강조했다.
