화이트해커 합법화… ‘취약점 제보제도’ 시범 도입
해킹을 예방하기 위해 서버 취약점 등을 찾는 화이트해커가 제도권 안으로 들어오는 길이 열린다. 화이트해커가 기업·기관의 보안 취약점을 합법적으로 발견해 신고하는 '취약점 신고·조치·공개제도'가 올해 시범사업으로 도입된다.
18일 보안업계에 따르면 국가인공지능전략위원회가 최근 국무회의에 보고한 인공지능(AI)액션플랜 세부 내용에 이 같은 내용이 담겼다. 정부는 대규모 개인정보 유출, AI 기반 사이버 위협 등에 대응해 선제적·상시로 보안 취약점을 발굴·제거하는 제도를 올해 시범적으로 시행하기로 했다.
현행 정보통신망 이용촉진 및 정보보호 등에 관한 법률(정보통신망법)은 정보통신망 침입을 원천 금지한다. 해킹 범죄를 방지하기 위해 선의의 목적으로 취약점을 탐색하는 화이트해커 활동도 불법으로 규정해 그간 제도 보완 필요성이 꾸준히 지적됐다.
특히 사이버보안 업계는 지난해 대규모 해킹 사고가 잇따라 터지자 화이트해커가 기업 계약 등 보호막 없이도 활발히 활동할 수 있는 기반이 필요하다고 주장했다.
미국 국방부와 사이버보안국(CISA) 등은 취약점 제보 프로그램(VDP)을 운영하며 화이트해커가 정부 시스템의 보안 약점을 찾아 제보할 때 법적 처벌 걱정 없이 활동할 수 있도록 보장한다.
보안 취약점을 신고하는 사람에게 포상금을 지급하는 '버그바운티 제도'도 활용된다.
구글, 애플 등 글로벌 빅테크나 공공 분야에서 버그바운티로 화이트해커의 참여를 촉진하고 적극적인 보상에 나서면서 사이버 공격 방어 생태계를 키우고 있다.
국가AI전략위는 240만명이 가입한 화이트해커 플랫폼 '해커원' 등과 논의를 거쳐 민간 화이트해커를 활용한 선제적·상시 보안 점검 체계 도입 방안을 구체화했다.
미국·유럽연합(EU)의 취약점 신고·조치·공개 제도를 참고해 도입하는 로드맵을 다음 달까지 마련하고 올해 시범 사업을 진행한 뒤 내년 법·제도 개선을 추진할 계획이다.
팽동현 기자 dhp@dt.co.kr
Copyright © 디지털타임스. 무단전재 및 재배포 금지.