해킹 취약점 제보에 2천만원?…"애플 보상은 수십억인데"

등록 2026.06.18 15:46:37수정 2026.06.18 17:08:24

국가AI전략위, 보안취약점 상시 신고조치제 제도화 세미나 개최

업계 "암시장에 팔면 수십억 원인데"…참여 유인할 파격적 보상 체계 촉구

중소기업 인력 부족·선의의 해킹 법적 면책 등 해결해야 할 과제 산더미

[서울=뉴시스]

[서울=뉴시스]윤정민 기자 = 정부가 1년 365일 내내 시스템의 해킹 빈틈을 감시하는 '보안 취약점 상시 신고 조치제' 도입에 착수했다. 하지만 화이트해커들을 유인할 보상 체계가 글로벌 수준에 비해 턱없이 부족하다는 업계의 쓴소리가 쏟아졌다. 정부가 내건 우수 취약점 상금은 최고 2000만 원 수준인 반면, 애플 등 글로벌 빅테크 기업은 수십억 원의 현상금을 내걸고 있다는 것.

국가인공지능전략위원회는 18일 서울 중구 서울스퀘어에서 '보안 취약점 상시 신고 조치제 제도화' 세미나를 개최했다. 이 제도는 기업이 취약점 신고 정책을 공개하면 외부 화이트해커가 허용된 테두리 안에서 시스템의 허점(취약점)을 찾아 신고하고, 기업은 이를 검증해 고친 뒤 대중에 공개하는 체계다. 우수 취약점을 발굴한 화이트해커에게 상장과 2000만원 규모의 상금이 수여된다. 정부는 이달 말부터 시범 사업에 들어간다.

이날 세미나에 참석한 보안 전문가들은 현행 보상 체계로는 화이트해커들의 자발적인 참여를 끌어내기 어렵다고 지적했다. 구동언 로그프레소 전무는 "공격자는 개인정보나 기업 기밀을 사이버 암시장에서 수억, 수십억원 단위로 팔아 치울 수 있다"며 "선의의 연구자로 신고하기 위해 불편한 절차를 다 밟았는데 보상이 쥐꼬리만 하다면 해커들이 무엇을 선택하겠느냐"고 꼬집었다.

글로벌 기업들은 이미 해킹 약점을 미리 찾아내는 '버그바운티(보상금 제도)'에 천문학적인 돈을 쓰고 있다. 실제로 애플은 고도화된 해킹 공격 경로를 제보한 해커에게 최고 200만 달러(약 30억원)의 보상금을 준다. 특정 조건이 맞으면 최대 보상금이 500만 달러(약 76억원)를 훌쩍 넘어선다.

전문가들은 취약점 보상금을 단순한 비용이 아닌 '보험'으로 봐야 한다고 입을 모았다. 오는 9월부터 대규모 개인정보 유출 사고에 대한 과징금 부담이 커지는 만큼, 사후에 수백억원의 과징금을 맞고 기업 평판이 깎이는 것보다 취약점을 미리 찾아 보완하는 비용이 훨씬 싸게 먹힌다는 논리다.

다만 이 보상 재원을 누가 부담할 것인가는 숙제다. 한국인터넷진흥원(KISA) 측은 이 제도가 기업과 연구자 간 협력 체계인 만큼, 정부는 제도적 기반을 닦고 중소기업을 지원하는 조율자 역할에 집중하겠다는 입장이다.

"해킹 많은 부실기업 낙인 찍힐라"…인센티브 주고 기업 부담 줄여야

[서울=뉴시스] 국가인공지능전략위원회는 18일 오전 10시 서울 중구 서울스퀘어에서 '보안취약점 상시 신고조치제' 제도화 방안을 구체화하기 위한 세미나를 열었다. 2026.06.18. (사진=국가인공지능전략위원회 제공) *재판매 및 DB 금지

중소기업의 현실적인 한계와 기업들이 짊어질 리스크에 대한 우려도 제기됐다. 김진수 한국정보보호산업협회(KISIA) 회장은 "이 제도는 AI 시대 실시간 사이버 위협에 대응하기 위한 필수 국가 인프라"라면서도 "취약점 제보가 쏟아져도 대다수 중소기업은 이를 검증하고 고칠 전담 인력과 예산이 없다"고 짚었다. 해커들이 시스템을 탐색하는 과정에서 갑자기 서비스 장애가 나거나 개인정보가 노출될 경우, 모든 법적 책임과 이미지 실추를 기업이 고스란히 떠안아야 한다는 지적이다.

김 회장은 기업 참여를 유도하기 위해 공공사업 입찰 우대, 과징금 감경, 보안 인증 심사 완화 등 확실한 당근(인센티브)을 줘야 한다고 제안했다.

김경훈 카카오 AI 세이프티 리더 역시 사회적 인식 개선을 주문했다. 김 리더는 "취약점 공개 건수가 많다고 해서 무조건 보안이 취약한 기업은 아닌데, 시장에서는 부실한 기업으로 오해할 수 있다"며 "연구자와 기업 간 갈등을 중재할 명확한 기준과 절차가 먼저 마련돼야 기업들이 자발적으로 참여할 것"이라고 말했다.

"착한 해킹도 현행법상 처벌 대상"…법조계, 면책 근거 마련 촉구

법조계에서는 선의의 해킹이라 할지라도 현행법과 충돌할 수 있어 법적 안전장치가 시급하다고 분석했다. 정석윤 법무법인 원 변호사는 "우리 정보통신망법이나 개인정보보호법은 행위의 의도가 '방어용'이었는지를 보지 않고, 시스템 침입 행위 자체를 규제한다"며 "화이트해커의 취약점 탐색 행위도 까딱하면 불법 침해사고 범주에 묶여 처벌받을 수 있다"고 설명했다.

현재 시범사업에서는 기업이 공지한 가이드라인에 따라 접근한 경우를 '허용된 권한'으로 임시 유권해석을 내리고 있다. 정 변호사는 제도가 본궤도에 오르려면 화이트해커의 활동 요건과 면책 근거를 법률에 못 박아야 한다고 조언했다.

정부는 이날 제기된 산업계와 법조계의 의견을 적극 수렴해 제도 보완에 나서기로 했다. 배경훈 국가AI전략위 부위원장이자 부총리 겸 과학기술정보통신부 장관은 "초연결 AI 시대에는 사이버 안보의 대응 속도가 곧 국가의 안위"라며 "빈틈없는 국가 사이버 방어망을 구축하기 위해 제도적 지원을 아끼지 않겠다"고 전했다.

[서울=뉴시스] 국가인공지능전략위원회는 18일 오전 10시 서울 중구 서울스퀘어에서 '보안취약점 상시 신고조치제' 제도화 방안을 구체화하기 위한 세미나를 열었다. 배경훈 국가AI전략위 부위원장이자 부총리 겸 과학기술정보통신부 장관이 인사말을 하고 있다. 2026.06.18. (사진=국가인공지능전략위원회 제공) *재판매 및 DB 금지