화이트해커 양지로…'취약점 신고제' 올해 시범 도입

[포인트경제] 정부가 민간 화이트해커를 활용해 기업과 공공기관의 보안 취약점을 상시 점검하는 체계를 구축한다.

지난 18일 보안업계에 따르면, 국가인공지능전략위원회는 최근 국무회의에 보고한 '인공지능(AI) 액션플랜'을 통해 '취약점 신고·조치·공개제도'를 올해 시범 도입하기로 했다. 현행 정보통신망법은 허가받지 않은 정보통신망 침입을 엄격히 금지하고 있어, 보안 사고를 막으려는 선의의 목적이라도 사전에 협의되지 않은 취약점 탐색은 불법 소지가 있었다.

사이버 보안업계는 대규모 해킹 사고가 잇따를 때마다 화이트해커가 별도의 계약이나 법적 보호막 없이도 자유롭게 활동할 수 있는 기반이 필요하다고 주장해 왔다. 이에 정부는 미국 국방부와 사이버보안국(CISA)이 운영하는 취약점 제보 프로그램(VDP)을 참고해, 제보자가 법적 처벌 걱정 없이 보안 약점을 알릴 수 있도록 보장할 계획이다.

△ 공공·민간 전반의 보안 실태와 상시 점검 필요성

이러한 제도 개선 움직임은 갈수록 교묘해지는 해킹 수법과 무관하지 않다. 앞서 지난 1월 27일 감사원이 발표한 실태 점검 결과에 따르면, 화이트해커 11명을 투입해 주요 공공시스템 7곳을 모의 해킹한 결과 모든 곳에서 개인정보 탈취가 가능했다.

입력값 검증 미비로 대규모 주민등록번호 조회가 가능하거나, 외부의 비정상적인 접근을 차단하지 못해 짧은 시간 안에 회원 정보가 노출될 수 있는 사례들이 확인됐다. 보안 사고의 대다수가 외부 해킹에 의해 발생하는 만큼, 사고 발생 전 취약점을 선제적으로 제거하는 상시 점검 체계가 필요하다는 지적이 제기돼 왔다.

△ 민간 기업들의 선제적 보안 강화 노력

민간 영역에서는 이미 화이트해커를 활용한 보안 점검이 확산되고 있다. 금융권의 경우 하나은행이 외부 화이트해커를 고용해 시스템을 점검했으며, KB국민은행은 가상 해킹 시나리오를 바탕으로 한 '사이버 해킹 공방 훈련'을 진행했다.

유통업계에서도 지난 1월 21일 롯데면세점이 보안 전문 기업과 협력해 사전 정보 없이 침투를 시도하는 '블랙박스 모의해킹'을 한 달간 진행했다고 밝혔다. 실제 공격자의 시각에서 자사 서비스의 빈틈을 파악하고 선제적으로 보안 위협을 제거하기 위한 조치다.

정부는 다음 달까지 구체적인 제도 도입 로드맵을 마련하고, 올해 시범 사업을 거쳐 내년에는 관련 법령 정비에 착수할 방침이다. 특히 보안 취약점 신고자에게 포상금을 지급하는 '버그바운티' 제도도 함께 활용해 민간 보안 전문가들의 참여를 적극적으로 유도할 예정이다.