‘선의의 해킹’ 하반기 제도권… 기관·기업 보안 상시 대응 체계로

정종길 기자 2026. 3. 4. 07:30
음성재생 설정 이동 통신망에서 음성 재생 시 데이터 요금이 발생할 수 있습니다. 글자 수 10,000자 초과 시 일부만 음성으로 제공합니다.
닫기
번역beta Translated by kaka i
닫기
글자크기 설정 파란원을 좌우로 움직이시면 글자크기가 변경 됩니다.

이 글자크기로 변경됩니다.

(예시) 가장 빠른 뉴스가 있고 다양한 정보, 쌍방향 소통이 숨쉬는 다음뉴스를 만나보세요. 다음뉴스는 국내외 주요이슈와 실시간 속보, 문화생활 및 다양한 분야의 뉴스를 입체적으로 전달하고 있습니다.

닫기
보안 팀 업무 확대, 기업 평판에 영향 등 장기적 변화 전망
정부가 보안 취약점 신고·조치·공개 제도(CVD/VDP)를 하반기 시범 도입한다. 이른바 '선의의 해킹'을 정책 범위 내에서 허용하고, 민·형사 책임 완화는 물론 인센티브까지 병행하겠다는 구상이다. 정책 발표 자체도 의미가 크지만, 향후 기관·기업 보안 운영 구조의 근본적 변화가 예상된다는 점에 주목할 필요가 있다. 전문가들은 이번 제도가 정착될 경우 국내 기관·기업의 보안 체계가 기존 정기 점검 중심에서 상시 대응 체제로 전환될 것으로 분석한다.

정부가 보안 취약점 신고·조치·공개 제도(CVD/VDP)를 하반기 시범 도입한다고 발표했다. 이에 따라 기관·기업의 보안 체계가 상시 관리 모델로 변화할 것으로 기대된다. / 챗GPT 생성

정부가 보안 취약점 신고·조치·공개 제도(CVD/VDP)를 하반기 시범 도입한다고 발표했다. 이에 따라 기관·기업의 보안 체계가 상시 관리 모델로 변화할 것으로 기대된다. / 챗GPT 생성

지난달 25일 국가인공지능전략위원회는 제2차 전체회의에서 '보안 취약점 제보제(CVD/VDP)' 로드맵을 심의·의결했다고 밝혔다. 로드맵은 과학기술정보통신부와 국가정보원이 관계 부처 합동으로 마련했으며, 올해 하반기 공공기관과 일부 민간 기업을 대상으로 시범사업을 실시할 예정이다. 이후 운영 결과를 반영해 가이드라인을 구체화하고, 2026년까지 정보통신망법 등 관계 법령 개정을 추진한다는 계획이다.

그동안 국내에서는 정보통신망법 제48조에 따라 정당한 접근 권한 없이 정보통신망에 침입하는 행위가 원칙적으로 금지돼 왔다. 선의의 목적이라 하더라도 사전 허가 없이 시스템을 탐색할 경우 형사 처벌 가능성을 완전히 배제하기 어려웠다. 이로 인해 '버그바운티(Bug Bounty)'라는 제도가 운영됐다. 기관·기업이 일정 기간에 걸쳐 포상금을 걸고 자사 소프트웨어나 시스템의 취약점을 신고받는 대회 형식의 행사다. 이는 대부분 소프트웨어(SW) 제품이나 테스트망 중심의 제한적·이벤트성 운영에 머물렀다는 한계가 있었다. 실제 운영 중인 정보통신망을 상시적으로 점검하는 구조로는 제도화되지 못한 것이다.

이번에 정부가 제시한 CVD·VDP는 이러한 한계를 보완하기 위한 시도다. 화이트해커가 기업·기관이 사전에 공개한 정책 범위 내에서 취약점을 상시 탐지·신고하고, 피신고 기관은 이를 조치한 뒤 일정 기간 내 정보를 공개하는 체계를 마련하겠다는 것이다. 정책 범위 내 활동에 대해서는 화이트해커의 민·형사 책임 부담을 완화하고, 신고 활성화를 위해 신고포상제도도 병행한다.

기업 참여를 유도하기 위한 인센티브도 계획에 포함됐다. CVD 운영 기업에 대해서는 공공기관 정보보호 평가 및 공공조달 참여 시 우대 방안을 검토하고, 개인정보보호법상 과징금 산정 시 감경 사유로 반영하는 방안도 추진한다. 정부는 이를 통해 자발적 참여 기반을 확산시키겠다는 계획이다.

무엇보다 전문가들은 이러한 제도가 자리 잡으면 보안팀의 역할이 기존보다 크게 확장될 것으로 전망한다. 기관·기업은 기존에 연 1회 진단이나 외부 컨설팅 등을 통해 정기적 보안 점검을 수행해왔다. 하지만 CVD 체계에서는 외부 연구자의 제보를 연중 수시로 접수하고 검증해야 한다. 취약점 재현과 영향도 분석, 패치 적용뿐만 아니라 정보 공개 일정 관리까지 이어지는 전 과정을 상시적으로 운영해야 한다는 의미다.

보안 업계 한 관계자는 "CVD는 단순한 신고 채널을 운영하는 것이 아니라, 보안 업무가 '프로젝트'에서 '상시 프로세스'로 전환되는 정책"이라며 "보안팀이 단순한 기술 도입과 운용, 점검, 사고 대응 조직을 넘어 대외 소통과 정보 공개 관리까지 담당하는 '운영·관리 조직'으로 확장되거나, 역으로 대외 업무에 보안 관련 업무까지 추가될 가능성이 크다"고 말했다.

기관·기업에게는 특히 취약점 '공개' 단계가 가장 까다로운 과제가 될 수 있다. 그동안 국내 기업은 취약점을 내부적으로 조치한 뒤 외부에 알리지 않는 경우가 많았다. 그러나 CVD는 신고·조치 이후 정보 공개를 제도상 필수 과정으로 설정한다. 특히 취약점 건수, 조치 소요 기간, 공개 시점 등의 정보가 축적되면 기업 간 비교가 가능해진다. 이에 따라 대응 속도와 투명성이 기업 신뢰의 지표로 작동할 수 있다는 전망도 나온다.

보안 업계 한 관계자는 "취약점 공개 이력이 데이터로 남으면 투자자나 거래처, 보험사 등이 참고 지표로 활용할 수 있다"며 "보안이 비용 항목을 넘어 평판 요소로 보다 적극적으로 작동하는 환경이 열릴 수 있다"고 말했다.

다만 모든 기업이 동일한 준비 수준을 갖춘 것은 아니기에, 전담 보안 인력이 충분하지 않은 중견·중소기업이나 일부 공공기관에는 상시 제보 대응이 부담으로 작용할 수 있다. 제보 검증과 조치, 정보 공개 관리까지 수행하려면 추가 인력과 예산이 필요하기 때문이다. 이에 정부는 시범사업 과정에서 접수·조정 모델을 점검하고 제3기관 연계 체계를 보완한다는 방침이다.

최근 침해사고 증가, 공급망 공격 및 제로데이 악용 사례 확대 등으로 기존 정기 점검 모델의 한계가 명확하다는 지적이 이어져 왔다. CVD·VDP는 '선의의 해킹'을 제도권으로 편입하는 동시에, 기관·기업의 보안 체계를 상시 관리 모델로 전환시키는 정책이라는 점에서 기대와 우려를 동시에 낳고 있다. 면책과 인센티브를 출발점으로 국내 기관·기업들이 상시 대응 체계와 취약점을 투명하게 공개하는 문화를 실제 구축할 수 있을지, 하반기 시범사업에 업계의 기대가 모이고 있다.

정종길 기자
jk2@chosunbiz.com

Copyright © IT조선. 무단전재 및 재배포 금지.

IT조선에서 직접 확인하세요. 해당 언론사로 이동합니다.