정부가 국내 첫 '보안취약점 상시 신고조치제' 도입을 위한 시범사업에 나선다. 올해 민간기업과 공공기관을 대상으로 제도 실효성을 검증한 뒤 2027년부터 본사업을 추진한다.
국가인공지능전략위원회와 과학기술정보통신부, 국가정보원, 한국인터넷진흥원(KISA)은 국내 최초로 '보안 취약점 신고·조치·공개(CVD/VDP) 제도' 시범사업을 추진한다고 28일 밝혔다.
보안취약점 상시 신고조치제는 화이트해커가 기업과 기관의 실제 운영망 등에서 취약점을 상시 탐색하고 신고할 수 있도록 하는 제도다. 기관과 기업은 신고된 취약점을 조치한 뒤 관련 내용을 공개한다.
시범사업은 기존 모의해킹이나 취약점 신고 포상제와 달리 실제 운영망을 포함해 365일 24시간 취약점 신고와 조치가 이뤄지는 방식이다. 참여 화이트해커의 인공지능(AI) 활용 해킹도 허용한다.
민간기업 7곳과 공공기관 8곳 등 총 15개 기관·기업이 시범사업에 참여한다. 이들 기관·기업은 화이트해커가 취약점을 탐색할 수 있도록 실제 운영망과 제품 등을 허용 범위 안에서 개방한다. 취약점 탐색과 신고, 조치는 6월부터 약 5개월간 진행된다. 최종 발견 취약점과 조치 결과를 연말 공개할 예정이다.
시범사업에 참가할 화이트해커 모집은 5월 29일부터 6월 12일까지 '보안 취약점 신고·조치·공개 제도' 시범사업 홈페이지를 통해 받는다. 대한민국 국적을 보유한 19세 이상 국민이면 신청할 수 있으며, 인원 제한은 없다.
참가자는 사전 윤리교육을 이수하고 기관·기업별 탐색 허용 범위와 정책을 준수해야 한다. 정부는 개인정보 유출과 망 운영 저해 등을 막기 위해 정책 준수 서약, 개인정보 처리 위탁 계약 등 안전장치를 운영한다.
정부는 우수 취약점을 발굴한 화이트해커에게 총 16점의 상장과 2000만원 규모의 상금을 수여할 계획이다.
박진형 기자 jin@etnews.com
