정부, 국내 첫 ‘보안취약점 상시 신고조치제’시범사업 운영

김지현 기자 (kjh@dailian.co.kr)
입력 2026.05.28 12:00
수정 2026.05.28 12:01

19세 이상 국민 화이트해커 참여 가능

통신·게임 등 국민 생활 밀접 기업

공공 기관 보안 선제적 점검나서

시범사업 화이트해커 참가 안내.ⓒ과학기술정보통신부

정부가 국내 첫 보안취약점 상시 신고조치제를 시범 도입한다. 민·관·국민 삼각 공조를 통해 우려스러운 보안 환경을 사전에 파악, 선제적으로 대응하겠다는 구상이다.

국가인공지능전략위원회와 과학기술정보통신부, 국가정보원, 한국인터넷진흥원(KISA)은 국내 최초로 보안 취약점 신고·조치·공개(CVD·VDP) 제도 시범 사업을 추진한다고 28일 밝혔다.

보안취약점 상시 신고조치제는 기존 공공기관·민간기업 등에서 일시적 이벤트 형태로 제품·가상 망을 대상으로 운영하는 모의해킹, 취약점 신고 포상제(분기별) 등과 달리, 실제 운영 망 등에 대해 365일, 24시간 화이트해커가 취약점을 탐색할 수 있도록 하는 정책(VDP)을 공개하고, 이를 준수하는 범위 내에서 화이트해커가 취약점을 발굴·신고하면 피신고 기업·기관이 조치 이후 투명하게 공개하는 정책(CVD)이다.

제도는 이미 미국·유럽 등에 널리 운영되고 있었으나 국내에는 운영되지 않고 있다.

정부는 지난해 연쇄 대형 보안사고를 계기로 상시적이고 선제적, 실전형 대응 체계의 필요성을 인식하고 해당 제도를 포함한 정보보호 종합대책과 국내 보안취약점 신고·조치·공개 로드맵을 수립하는 등 해당 제도의 국내 도입을 추진 중이다.

시범 사업은 내년부터 본격 추진될 제도화에 앞서 대국민 인식 제고와 그 실효성을 사전에 검증하기 위한 목적으로 추진된다.

특히 최근 미토스발 AI기반 상시적 해킹 위협이 현실화 됨에 따라 환경 변화에 발맞춘 실전적·상시적 방어 역량 향상을 위해 참여 화이트해커들의 AI활용 해킹도 시범 사업에서 허용할 방침이다.

이번 시범 사업에는 민간기업 7개, 공공기관 8개 등 총 15개 기관·기업이 참여한다. 민간의 경우 통신사·게임·금융·핀테크 등 사고발생 시 대규모 피해가 예상되는 분야 기업들이, 공공의 경우 안전·보건의료·전력·교통 등 대국민 밀접 서비스를 제공하는 기관들이 자발적으로 참여해 자사 실제 운영 망·제품 등에 대해 화이트해커의 취약점 탐색 활동을 허용한다.

화이트해커는 대한민국 국적을 보유한 19세 이상이라면 누구나 참여 가능하다. 다만, 실제 운영 망에 대한 취약점 발견 과정에서 개인정보 유출, 망 운영저해 등 국민·기업의 피해를 방지하기 위해 기업·기관별 취약점 탐색 허용 정책(대상 사이트, 허용 범위 등) 마련, 화이트해커 관련 내용 숙지와 사전 윤리교육 이수, 해당 정책 준수 서약 및 개인정보 처리 위탁 체결 등 보완 장치를 마련해 운영해 나갈 계획이다.

참가 희망 화이트해커 접수는 내달 12일까지다.

이후 참가자 교육과 승인 절차를 거쳐 6월 이후 5개월간 활동하게 된다.

최종 발견된 취약점과 조치 결과 등은 연말 공개될 예정이며 우수 취약점을 발굴한 화이트해커에게는 공공과 민간을 통틀어 총 16점의 상장과 2000만원 규모의 상금 수여 등 격려 체계도 운영한다.

배경훈 부총리 겸 과학기술정보통신부 장관은 “AI시대 보안은 국가 경제와 안보를 지탱하는 핵심기반이라며, 미토스 사태가 촉발한 AI기반의 상시 위협에 대응하기 위해서는 실전적이고 선제적인 보안체계 도입이 불가피 하다”고 강조했다.

아울러 “이번 시범 사업을 마중물 삼아 보안취약점 상시 신고조치제의 성공적인 도입과 안착 등 투명하고 안전한 K-보안 생태계 조성에 적극 기여하겠다”고 밝혔다.

#KISA

#과학기술정보통신부

#국가인공지능전략위원회

#국가정보원

#보안취약점상시신고조치제

#한국인터넷진흥원