공공조달 시장의 룰이 바뀐다: '취약점 공개' 기업 가점 부여의 의미와 대응 전략

재미나이 생성

 공공조달 시장 진출을 준비하는 소프트웨어(SW) 및 인공지능(AI) 기업들에게 중대한 정책 변화가 예고되었습니다.

그동안 다수의 기업은 브랜드 이미지 훼손이나 신뢰도 하락을 우려하여 자사 제품의 보안 취약점이 외부로 알려지는 것을 극도로 기피해 왔습니다. 그러나 최근 공공 시장의 보안 패러다임이 '은폐'에서 '투명한 공개와 협력'으로 급변하고 있습니다.

최근 조달청이 발표한 '공공조달을 통한 AI 산업 활성화 선도 방안'에 따르면, 앞으로 공공조달 생태계에서는 '보안 취약점을 투명하게 공개하고 적극적으로 개선하는 기업'을 우대하는 방침이 본격화될 전망입니다. 이 정책이 의미하는 바와 공공 시장 진입을 위한 기업의 대응 전략을 짚어봅니다.

 

1. 취약점 은폐 대신 '개선' 시 입찰 가점 부여

 조달청은 자사 제품의 보안 취약점을 투명하게 관리하고 개선하는 기업에게 공공조달 입찰 시 가점(인센티브)을 부여할 계획입니다.

치열한 공공조달 경쟁에서 소수점 차이로 당락이 결정되는 현실을 고려할 때, 이번 조치는 AI 및 SW 기업들에게 수주를 좌우할 핵심 경쟁력으로 작용할 전망입니다. 즉, 보안 취약점 관리가 단순한 리스크 방어 차원을 넘어 공공 시장 진입을 위한 필수 요건이자 '스펙'으로 격상되었음을 의미합니다.

 

2. 글로벌 표준, VDP와 CVD 제도의 도입

 가점 획득을 위해서는 취약점 관리에 대한 체계적인 프로세스 구축이 선행되어야 합니다. 공공 시장에서 요구하는 투명한 관리 체계의 핵심은 글로벌 스탠다드로 자리 잡은 두 가지 제도의 도입입니다.

• 취약점 공개 프로그램 (VDP, Vulnerability Disclosure Program): 기업이 외부의 보안 연구자나 화이트해커 등으로부터 자사 제품 및 서비스의 보안 취약점을 안전하게 제보받을 수 있도록 공식적인 접수 채널을 운영하는 제도입니다.
• 협력적 취약점 공개 (CVD, Coordinated Vulnerability Disclosure): 제보받은 취약점을 즉각 대중에게 공개해 혼란을 야기하는 대신, 제보자와 기업이 협력하여 보안 패치를 먼저 완료한 후 안전하게 외부로 공개하는 국제 표준 프로세스입니다.

 

3. 보안 패러다임의 변화: 완벽함보다 '대응력'이 평가 기준

 구글, 마이크로소프트 등 글로벌 빅테크 기업들은 이미 버그바운티(취약점 신고 포상제)를 통해 전 세계 보안 전문가들과 협력하며 자사 시스템의 방어력을 높이고 있습니다.

 

 이번 조달청의 가점 부여 정책은 국내 공공조달 생태계에도 이러한 글로벌 스탠다드를 정착시키겠다는 강력한 의지로 풀이됩니다. 현실적으로 취약점이 전혀 없는 소프트웨어를 개발하는 것은 불가능합니다. 따라서 향후 공공 시장에서는 '취약점이 발견되었을 때 얼마나 투명하고 신속하게 대응할 수 있는 체계를 갖추었는가'가 기업의 진정한 기술력과 신뢰도를 평가하는 핵심 척도가 될 것입니다.

---

 공공기관 납품을 목표로 하는 SW 및 AI 기업은 이제 제품의 기능적 우수성을 확보하는 것을 넘어, '취약점 제보 수집 및 패치 대응 프로세스'를 기업 내재화해야 하는 과제를 안게 되었습니다.

 

 단순히 시스템을 개발하고 납품하는 데 그치지 않고, 공급망 전반에 걸친 보안 가시성을 확보하여 취약점 발생 시 즉각적으로 조치할 수 있는 런타임 보안 체계가 필수적입니다. 변화하는 정책 기조에 발맞춰 투명하고 선제적인 보안 관리 체계를 준비하는 기업만이, 향후 공공조달 시장에서 확고한 경쟁 우위를 선점할 수 있을 것입니다.