"착한 해킹은 처벌 면제?" 정부, 화이트해커 활용한 ‘취약점 신고 제도’ 본격 도입

국가인공지능전략위원회 회의 현장. (출처: 국가인공지능전략위원회 제공)

과거에는 꽁꽁 숨기기 바빴던 기업의 보안 취약점, 이제는 화이트해커를 통해 먼저 찾아서 고치는 기업이 큰 혜택을 받는 시대로 바뀝니다.

지난 2월 25일 개최된 국가인공지능전략위원회 제2차 전체회의에서 대한민국 인공지능행동계획이 확정되며, 사이버 보안의 패러다임을 바꿀 ‘보안 취약점 신고·조치·공개 제도(CVD/VDP)’ 도입 로드맵이 공식 발표되었습니다. 핵심 내용을 알기 쉽게 짚어드립니다.

1. 왜 도입하는가? : "연 1회 체크리스트 점검으로는 역부족"

현재 국내 보안 제도(ISMS 등)는 1년에 한 번 체크리스트 위주로 점검하는 절차 평가에 머물러 있습니다. 하지만 해커들이 AI를 이용해 단 5주 만에 전 세계 방화벽 600대를 뚫어버리는 지금, 이러한 1회성 점검으로는 지능화된 공격을 막을 수 없습니다.

 

이에 정부는 2010년대 세계적인 보안 대란을 겪고 이미 제도를 안착시킨 미국과 유럽을 벤치마킹하여, 화이트해커가 기업의 취약점을 상시로 찾아내어 신고하고 사전에 예방하는 제도를 공공·민간 전반에 도입하기로 했습니다.

2. 핵심 포인트: 기업과 해커에게 주어지는 파격적 혜택

제도의 성공적인 안착을 위해 정부는 강력한 유인책과 보호 장치를 마련했습니다.

 

🏢 참여 기업 혜택: 제도를 도입하는 민간 기업에게는 보안인증 가점과 공공조달 연계 혜택이 주어집니다. 가장 눈에 띄는 점은, 개인정보 유출 사고가 발생하더라도 평소 이 제도를 통해 보안에 힘썼다면 과징금을 감경받을 수 있다는 것입니다. (공공기관은 기관 평가에 반영됩니다.)

💻 화이트해커 보호 및 보상: 현재는 화이트해커의 기업 망 접근 자체가 불법입니다. 하지만 앞으로는 기업이 정한 정책 범위(해킹 범위, 신고 방식 등) 내에서 선의의 해킹을 할 경우, 민·형사상 처벌을 받지 않도록 관계 법령을 정비합니다. 또한 신고 포상제(버그바운티)를 활성화하여 해커들의 적극적인 참여를 유도합니다.

3. 어떻게 진행되나? : 3단계 추진 로드맵

이 제도는 부작용을 최소화하기 위해 단계적으로 추진됩니다.

• [1단계: 시범사업 (2026년)] 올해 과기정통부와 국정원 주도로 공공·민간 분야 시범사업을 운영해 국내 도입 효과를 사전에 검증합니다. (초기에는 기업과 해커 간 상호 협의하에 제한적 운영)
  
  
• [2단계: 참여 확대 (2027년)] 시범사업 결과를 바탕으로 가이드라인을 마련·배포하고, 과징금 감경이나 공공조달 연계 등 기업 참여 유인책을 본격적으로 제도화합니다.
  
  
• [3단계: 법제화] 조속한 시일 내에 정보통신망법, 개인정보보호법 등을 개정하여 공공부문은 의무화하고 민간부문은 전면 참여를 촉진하는 법·제도적 기반을 완성합니다.