국가AI전략위 AI액션플랜 반영... 내년 법제화 추진

[보안뉴스 한세희 기자] 화이트해커가 처벌 위험 없이 기업·기관의 보안 취약점을 발견해 신고하는 ‘취약점 신고·조치·공개제도’가 올해 시범사업으로 도입된다.

국가인공지능전략위원회가 최근 국무회의에 보고한 AI액션플랜에 따르면, 정부는 대규모 개인정보 유출, AI 기반 사이버 위협을 막기 위해 평소 선제적으로 보안 취약점을 발굴·제거하는 제도를 올해 시범 시행한다.


현행 정보통신망 이용촉진 및 정보보호 등에 관한 법률(정보통신망법)은 정보통신망 침입을 원천 금지한다. 해킹 범죄를 방지하기 위해 선의의 목적으로 취약점을 탐색하는 화이트해커 활동도 불법이다.

보안 업계에선 화이트해커가 기업 계약 등 보호막 없이도 활발히 활동할 수 있는 기반이 필요하다고 제안해왔다. 미국 국방부와 사이버보안국(CISA) 등은 취약점 제보 프로그램(VDP)을 운영하며 화이트해커가 정부 시스템의 보안 약점을 찾아 제보할 때 법적 처벌 걱정 없이 활동할 수 있도록 한다.

보안 취약점을 신고하는 사람에게 포상금을 주는 ┖버그바운티┖ 제도도 활용된다. 구글, 애플 등 글로벌 빅테크나 공공 분야선 버그바운티로 화이트해커 참여를 촉진하고 적극적 보상에 나서면서 사이버 방어 생태계를 키우고 있다.

국가AI전략위는 240만명이 가입한 화이트해커 플랫폼 ┖해커원┖ 등과 논의를 거쳐 민간 화이트해커를 활용한 선제적·상시 보안 점검 체계 도입 방안을 구체화했다. 미국·유럽연합(EU)의 취약점 신고·조치·공개 제도를 참고해 로드맵을 다음 달까지 마련하고, 올해 시범 사업을 진행해 내년 법·제도 개선을 추진다.

[한세희 기자(boan@boannews.com)]

<저작권자: 보안뉴스(www.boannews.com) 무단전재-재배포금지>