.png)
|
국가인공지능전략위원회와 과학기술정보통신부, 국가정보원, 한국인터넷진흥원(KISA)은 안전하고 투명한 보안 생태계를 구축하기 위해 국내 최초로 ‘보안 취약점 신고·조치·공개(CVD/VDP) 제도’(이하 보안취약점 상시 신고조치제) 시범 사업을 전격 추진한다고 28일 밝혔다.
기존의 모의해킹이나 분기별 취약점 신고 포상제는 가상 망이나 특정 제품을 대상으로 일시적인 이벤트 형태로 운영되어 왔다. 반면 이번에 도입되는 보안취약점 상시 신고조치제는 실제 운영 망 등을 대상으로 365일 24시간 내내 화이트해커가 취약점을 탐색할 수 있도록 허용한다. 화이트해커가 정해진 취약점 공개 정책(VDP)을 준수해 취약점을 발굴·신고하면, 해당 기업과 기관이 이를 조치한 후 투명하게 결과를 공개(CVD)하는 방식으로 운영된다.
미국과 유럽 등에서는 이미 공공기관 의무화나 주요 민간 분야 필수 요건 등으로 널리 활용되고 있으나, 국내에 도입되는 것은 이번이 처음이다. 정부는 지난해 연쇄 대형 보안사고를 계기로 범정부 차원의 로드맵을 수립해 왔으며, 내년 본격적인 제도화에 앞서 대국민 인식 제고와 실효성 검증을 위해 이번 시범 사업을 마련했다. 특히 최근 미토스발 AI 기반 해킹 위협이 현실화됨에 따라, 이번 사업에서는 화이트해커들의 AI 활용 해킹도 시범적으로 허용할 방침이다.
이번 시범 사업에는 총 15개의 민간 기업과 공공기관이 자발적으로 참여해 자사의 실제 운영 망과 제품을 개방한다. 민간 부문에서는 LG유플러스(통신), 넥슨·엔씨(게임), 토스페이먼츠·삼성생명(금융/핀테크), 이스트시큐리티·잉카인터넷(보안) 등 7개 기업이 참여한다. 공공 부문에서는 국민안전24, 건강보험심사평가원, 예방접종도우미, 한전ON, 국가교통정보센터, 사이버검사소, 경제통계시스템, 공공기관 채용정보시스템 등 8개 기관이 이름을 올렸다.
대한민국 국적을 가진 19세 이상의 성인이라면 누구나 인원 제한 없이 화이트해커로 참여할 수 있다. 다만 실제 운영 망을 대상으로 하는 만큼 개인정보 유출이나 망 운영 저해 등의 부작용을 막기 위한 철저한 통제장치도 가동된다. 참가자들은 사전 윤리교육을 이수해야 하며, 보안서약서 제출 및 개인정보 처리 위탁 계약 체결 등을 완료해야 최종 승인을 받을 수 있다. 가이드라인(VDP)을 준수하며 활동한 화이트해커는 법적 보호를 받게 된다.
참가 접수는 5월 29일부터 6월 12일까지 공식 홈페이지를 통해 진행된다. 6월 중 사전 교육과 승인 절차가 마무리되면 약 5개월간 본격적인 취약점 탐색 및 조치 활동이 이어진다. 최종 결과는 연말에 공개되며, 우수한 취약점을 발굴한 화이트해커에게는 총 16점의 상장과 2000만원 규모의 상금이 수여될 예정이다.
배경훈 부총리(국가AI전략위원회 부위원장 겸 과기정통부 장관)는 “AI 시대 보안은 국가 경제와 안보를 지탱하는 핵심기반”이라며 “미토스 사태가 촉발한 AI 기반의 상시 위협에 대응하기 위해서는 실전적이고 선제적인 보안 체계 도입이 불가피하다”고 강조했다. 이어 “이번 시범 사업을 마중물 삼아 보안취약점 상시 신고조치제의 성공적인 도입과 안착 등 투명하고 안전한 K-보안 생태계 조성에 적극 기여하겠다”고 밝혔다.
국정원 역시 “국가 사이버보안 분야에서 중요 파트너인 화이트해커의 전문성을 통해, 국가·공공기관의 잠재적 취약점을 사전에 발굴하고 개선할 수 있기를 기대한다”며 “보안취약점 상시 신고조치제가 조기에 정착할 수 있도록 시범 사업 진행에 만전을 기하겠다”고 평했다.
![고위층 자제, 성과급 주려고 DS로 이동?…삼성 사실무근[only 이데일리]](https://image.edaily.co.kr/images/vision/files/NP/S/2026/06/PS26060900809t.jpg)
!['잠실 개표소 시위' 2030 자리비우니 다시 '부정선거론'…불법 검문도 [르포]](https://image.edaily.co.kr/images/Photo/files/NP/S/2026/06/PS26060900764t.jpg)
