LGU+·넥슨·엔씨, ‘화이트 해커’로 보안 취약점 잡는다

시사위크=조윤찬 기자  한국에서도 미국과 유럽처럼 ‘보안취약점 상시 신고조치제’가 도입된다. 시범사업에는 대규모 개인정보를 관리하는 민간 기업들이 참여했다. 이들은 화이트해커와 함께 보안 취약점에 선제 대응한다.

28일 정부에 따르면 ‘보안최약점 상시 신고조치제’ 시범사업에는 7개의 민간 기업과 8개 공공기관이 참여했다.

민간 참가 기업은 △통신사 LG유플러스 △게임사 넥슨, 엔씨 △금융·핀테크 토스페이먼츠, 삼성생명 △보안 이스트시큐리티, 잉카인터넷 등이다.

지난해 다수의 해킹사태를 경험하며 보안 취약점을 사전에 발견하고 개선하는 게 중요해졌다. 지난해는 사후에 민관합동조사단 조사를 통해 장기간 방치된 보안 취약점이 발견되며 여러 비판이 나오기도 했다.

보안 취약점 상시 신고조치제는 취약점을 탐색할 수 있도록 한 범위 내에서 화이트해커가 취약점을 발굴 및 신고하면 해당 기업·기관이 조치하고 투명하게 공개하는 제도다. 과학기술정보통신부와 국정원은 올해 4분기까지의 시범사업 결과를 바탕으로 2027년에 제도화를 추진한다.

기존 모의해킹과 취약점 신고 포상제에서 가상망 및 제품 위주의 점검이 이뤄졌다면 보안취약점 상시 신고조치제는 실제 운영망을 점검한다. 정부는 29일부터 화이트해커를 모집하고 6월 중 취약점 조치를 진행하며 연말에 성과를 공개할 계획이다.

AI(인공지능) 기반 해킹에 대비하기 위해 화이트해커도 AI 해킹을 시도한다. AI 기술은 일상 생활 업무 혁신을 비롯해 산업현장 피지컬 AI에도 사용되지만 동시에 보안 위협도 고도화시켰다.

실제 운영망을 해킹하는 건 ‘정보통신망법’ 위반이 될 수 있어 법적 보호가 필요한 일이다. 과기정통부 관계자는 “기업들과 해커가 일종의 계약을 하기 때문에 법적인 부분에서 면책이 있다”며 “이를 활용해 시범 사업 기간만 제한적으로 허용한다”고 말했다.