![민간 화이트해커가 기업·기관의 보안 취약점을 합법적으로 찾아 신고할 수 있도록 하는 ‘취약점 신고·조치·공개 제도’를 올해 시범 도입된다. [사진=연합뉴스]](https://images-cdn.newspic.kr/detail_image/181/2026/2/17/3bfcb253-f468-484e-acc6-4178e481b67a.jpg?area=BODY&requestKey=w3Hru72p)
[이뉴스투데이 김진영 기자] 민간 화이트해커가 기업·기관의 보안 취약점을 합법적으로 찾아 신고할 수 있도록 하는 ‘취약점 신고·조치·공개 제도’를 올해 시범 도입된다. 대규모 개인정보 유출과 인공지능(AI) 기반 사이버 공격이 잇따르는 가운데, 사후 대응 중심이던 보안 체계를 선제적·상시 점검 구조로 전환하겠다는 취지다.
17일 업계에 따르면 국가인공지능전략위원회는 최근 국무회의에 보고한 AI 액션플랜 세부 과제에 이 같은 내용을 포함했다. 정부는 민간 화이트해커를 활용해 공공·민간 전반의 보안 취약점을 선제적으로 발굴·제거하는 체계를 구축하고, 올해 시범 사업을 거쳐 내년 법·제도 개선에 나설 계획이다.
현재 정보통신망 이용촉진 및 정보보호 등에 관한 법률은 정보통신망 침입을 원천적으로 금지하고 있어, 선의의 목적이라 하더라도 취약점 탐색 행위 자체가 불법 소지가 있다는 지적을 받아왔다. 사이버 보안업계는 최근 연이은 해킹 사고를 계기로 “계약이나 보호 장치 없이도 화이트해커가 자유롭게 활동할 수 있는 제도적 기반이 필요하다”고 요구해 왔다.
정부는 미국과 유럽연합(EU)의 운영 사례를 참고해 제도 설계를 구체화하고 있다. 미국에서는 미국 국방부와 미국 사이버보안·인프라보안국(CISA) 등이 취약점 제보 프로그램(VDP)을 운영, 화이트해커가 정부 시스템의 보안 약점을 제보해도 법적 처벌 우려 없이 활동할 수 있도록 하고 있다. 보안 취약점을 신고하면 보상금을 지급하는 ‘버그바운티’ 제도도 병행된다.
구글과 애플 등 글로벌 빅테크는 물론 공공 부문에서도 버그바운티를 통해 화이트해커 참여를 유도하며 사이버 방어 생태계를 키우고 있다. 국가AI전략위는 회원 수 약 240만명 규모의 글로벌 화이트해커 플랫폼 해커원(HackerOne) 등과 논의를 진행, 민간 화이트해커를 상시 보안 점검에 참여시키는 모델을 검토 중이다.
정부는 다음 달까지 제도 도입 로드맵을 마련하고, 올해 시범 운영 결과를 토대로 관련 법령 정비에 착수할 방침이다. 한 업계 관계자는 “사고 발생 이후의 대응이 아닌, 외부 전문가가 상시로 취약점을 찾는 구조가 자리 잡을 경우 국내 사이버 보안 수준이 한 단계 올라갈 수 있다”며 “보상 체계와 법적 보호가 함께 설계돼야 실효성이 생긴다”고 평가했다.
Copyright ⓒ 이뉴스투데이 무단 전재 및 재배포 금지
본 콘텐츠는 뉴스픽 파트너스에서 공유된 콘텐츠입니다.
