"이거 뚫리는데요" 화이트 해커 뜬다…취약점 제보제 하반기 시범 도입

등록 2026.02.25 10:04:09수정 2026.02.25 10:32:23

국가AI전략위, 보안 취약점 제보제 도입 로드맵 의결

화이트해커 상시 보안점검 도입…민·형사 처벌 면제 등 법적 보호

기업엔 공공조달 우대 등 유인책…정보통신망법 개정 추진

[서울=뉴시스] 기사의 이해를 돕기 위한 해커 이미지. (사진=유토이미지) 2026.01.01. photo@newsis.com *재판매 및 DB 금지 *재판매 및 DB 금지

[서울=뉴시스] 기사의 이해를 돕기 위한 해커 이미지. (사진=유토이미지) 2026.01.01. [email protected] *재판매 및 DB 금지 *재판매 및 DB 금지

[서울=뉴시스] 신효령 기자 = 정부가 사고가 터진 뒤 수습하는 기존 보안 방식에서 탈피해, 화이트해커를 통해 보안 취약점을 미리 찾아내는 사전 예방 체계로 국가 보안 패러다임을 전환한다. AI(인공지능)를 이용한 해킹 위협이 현실화된 상황에서 더 이상 체크리스트 점검만으로는 국가 보안을 지킬 수 없다는 판단에 따른 조치다.

국가인공지능(AI)전략위원회는 25일 오전 열린 제2차 전체회의에서 '보안 취약점 제보제(CVD/VDP) 도입 로드맵'을 심의·의결했다.

이 대책의 핵심은 보안업계의 숙원이던 '한국형 세이프 하버(Safe Harbor)' 제도의 도입이다. 그동안 화이트해커의 망 접근은 현행 정보통신망법상 불법으로 간주되어 위법의 경계선에서 활동해야 하는 제약이 있었다. 정부는 화이트해커가 민·형사상 처벌 걱정 없이 정해진 범위 내에서 상시 보안 점검을 할 수 있도록 법적 보호망을 마련한다.

'선의의 해킹' 제도화…형식적 점검 탈피

현재 국내 보안 제도는 연 1회 체크리스트를 확인하거나 절차를 평가하는 방식이 주를 이룬다. ISMS(정보보호 관리체계) 인증이나 사이버보안실태 평가 등이 대표적이다. 하지만 실시간으로 고도화되는 해킹 기술을 막아내기에는 역부족이라는 지적이 꾸준히 제기됐다. 실제로 올해 2월 아마존에서는 해커들이 AI를 이용해 단 5주 만에 전 세계 방화벽 600대를 침해하는 사건이 벌어지기도 했다.

이에 정부는 미국과 유럽이 이미 운영 중인 '조정된 취약점 공개(CVD)' 제도를 벤치마킹하기로 했다. 화이트해커가 기업이나 기관의 보안 구멍을 상시로 찾아 신고하면, 해당 기관은 이를 조치한 뒤 그 과정을 투명하게 공개하는 것이 핵심이다.

보안 취약점 신고제 도입…올해 시범사업 착수

그동안 화이트해커의 망 접근은 불법으로 간주돼 해당 기업·기관들과 사전 동의 하에 취약점 신고 포상제를 제한적으로 운영돼왔다. 정부는 이를 개선해 화이트해커가 민·형사상 처벌 걱정 없이 정해진 범위 내에서 상시 보안 점검을 할 수 있도록 정보통신망법 등 관련 법령을 정비할 계획이다.

참여를 유도하기 위한 인센티브도 마련했다. 공공기관은 보안 평가와 연계해 도입을 의무화하고, 민간 기업에는 보안 인증 가점, 공공 조달 우대, 사고 발생시 과징금 감경 등의 혜택을 제공한다. 화이트해커에게는 신고 포상제를 활성화해 실질적인 보상을 제공할 예정이다.

올해 과학기술정보통신부와 국가정보원 주도로 민간 및 공공 분야 시범사업을 실시하고, 내년에는 시범사업 결과를 바탕으로 관련 가이드라인을 마련해 참여 확대를 유도할 방침이다. 이후 관계 법령 개정을 통해 공공 의무화 및 민간 전면 참여를 뒷받침하는 법적 기반을 구축한다는 계획이다. 정비 검토 대상에는 개인정보보호법, 국가정보보안 기본지침, 저작권법 등이 포함됐다.

국가AI전략위 관계자는 "기존의 규제와 절차 중심 보안에서 벗어나 실질적인 기술력 중심의 예방 체계를 구축할 것"이라며 "민간의 뛰어난 화이트해커를 우군으로 확보해 AI 강국에 걸맞은 철벽 보안 인프라를 갖추겠다"고 밝혔다.

◎공감언론 뉴시스 [email protected]