누구나 화이트해커 된다…보안취약점 상시 신고 조치 시행

민·관 공조로 보안 취약점 탐색…조치 이후 공개
통신·게임·금융사 등 참여…우수 화이트해커엔 상금
미토스발 보안 우려에 AI 해킹 활용도 허용

정부가 국민 누구나 기업·공공기관 등의 보안 취약점을 발견해 조치할 수 있도록 화이트해커 제도를 시범 도입한다.

국가인공지능전략위원회와 과학기술정보통신부, 국가정보원, 한국인터넷진흥원(KISA)은 보안 생태계 구축을 위해 보안 취약점 신고·조치·공개(CVD/VDP) 제도 시범 사업을 추진한다고 28일 밝혔다.

화이트해커는 대한민국 국적을 보유한 만 19세 이상 누구나 신청할 수 있으며, 인원 규모에 제한을 두지 않는다. 다만 실제 운영 중인 망에 대한 취약점을 발견하는 만큼, 개인정보 유출과 같은 부작용을 막기 위해 취약점 탐색 허용 정책을 마련하고 신청자에 대한 사전 윤리교육, 정책 준수 서약과 같은 보완 장치를 마련할 계획이다.

접수는 이달 29일부터 6월12일까지 2주간 홈페이지에서 할 수 있다. 이후 참가자 교육과 승인 절차를 거쳐 6월 이후 약 5개월간 활동한다. 최종 발견된 취약점과 조치 결과 등은 올해 말 공개될 예정이며, 우수 취약점을 발굴한 화이트해커에게는 상장과 총 2000만원 규모의 상금이 주어진다.

이 제도는 이미 미국이나 유럽 등에서 널리 운영되고 있다. 반면 국내에서는 일부 공공기관과 기업 주최로 일시적인 모의해킹이나 분기별 취약점 신고 포상제를 운영하는게 전부였다.

이번 시범 사업은 내년 본격 추진에 앞서 실효성을 사전 검증하는 동시에 대국민 인지도를 높이기 위한 것이다. 특히 앤스로픽의 최신 인공지능(AI) 모델 '미토스'로 인한 AI 기반 해킹 위협이 커지면서 화이트해커들의 AI 활용 해킹도 시범 사업에서 허용할 방침이다.

시범 사업에는 민간기업 7곳과 공공기관 8곳 등 총 15개 기관도 참여한다. 민간에서는 ▲LG유플러스 ▲넥슨 ▲엔씨 ▲토스페이먼츠 ▲삼성생명 ▲이스트시큐리티 ▲잉카인터넷 등이 참여한다. 공공기관이 운영하는 서비스 중에서는 ▲국민안전24(행정안전부) ▲건강보험심사평가원 ▲예방접종도우미(질병관리청) ▲한전ON(한국전력) ▲국가교통정보센터(국토교통부) ▲사이버검사소(한국교통안전공단) ▲경제통계시스템(한국은행) ▲공공기관 채용정보시스템(재정경제부) 등이 사업에 참여한다.

인공지능전략위 부위원장을 겸직하는 배경훈 부총리 겸 과기정통부 장관은 "AI 시대 보안은 국가 경제와 안보를 지탱하는 핵심 기반으로, 미토스 사태가 촉발한 AI 기반 상시 위협에 대응하기 위해서는 실전적이고 선제적인 보안체계 도입이 불가피하다"면서 "이번 시범 사업을 마중물 삼아 보안취약점 상시 신고조치제의 성공적인 도입과 안착 등 보안 생태계 조성에 적극 기여하겠다"고 밝혔다.

이명환 기자 lifehwan@asiae.co.kr