[지디넷코리아]
정부가 상시적 해킹 위협에 대응하기 위해 보안 체계를 한 단계 강화한다. 사후 재제 중심이던 기존 정보보안 시스템을 상시 점검·예방 체계로 전환하겠다는 구상이다.
국가인공지능(AI)전략위원회는 25일 오전 10시 서울 서울스퀘어 16층 위원회 지원단 회의실과 유튜브 생중계로 진행된 제2차 전체회의에서 이같은 전략을 소개했다. 발표는 이원태 보안 태스크포스(TF) 리더가 맡았다.
이 리더는 “초연결·디지털 의존 사회로 진입하면서 전통적 정보보안 체계가 한계에 도달했다”며 제도 도입 필요성을 강조했다. 그는 지난해 SK텔레콤과 KT, 쿠팡 등에서 발생한 연쇄 사고와 해킹 시도 급증을 언급하며 근본적인 패러다임 전환이 시급하다고 강조했다.
현재 국내 정보보안 제도는 과학기술정보통신부를 비롯한 개인정보보호위원회, 국가정보원 등을 중심으로 사전 예방, 주기적 점검, 사고 후 제재 체계로 운영되고 있다. 다만 사전 예방은 책임자 지정과 공시, 제품 도입 시 검증에 머물러 있다는 지적을 받았다. 주기적 대응도 연 1회 점검에 그쳐 상시 위협을 실질적으로 검증하는 구조와는 거리가 있다는 지적이다.
이 TF 리더는 해외 사례로 미국과 유럽 취약점 신고·조치 공개 정책(VDP)을 제시했다. 해당 제도는 워너크라이 등 글로벌 대형 보안 사고를 계기로 도입됐다. 이는 공공 부문 의무화와 공공 조달 연계를 통해 민간 참여를 촉진한다는 평을 받고 있다. 유럽은 민간까지 상당 부분 의무화하는 추세다.
정부는 이를 벤치마킹할 방침이다. 국내서도 기업·기관이 정책 범위를 설정하고 화이트해커가 상시적으로 취약점을 탐지·신고하면, 조치 후 이를 공개하는 구조를 도입하는 식이다. 참여 기관에는 공공조달 연계, 기관 평가 반영, 개인정보 사고 시 과징금 감경, 신고 포상제 활성화 등 인센티브를 제공한다.
이 리더는 “우리는 화이트해커 활동 과정에서 발생할 수 있는 법적 책임 문제를 명확히 하고 보호 장치를 마련하는 데 방점을 찍었다”며 “제도 초기에는 사전 동의 기반으로 운영하되, 제도가 성숙하면 상시 운영을 법제화할 것”이라고 밝혔다.
로드맵은 3단계로 추진된다. 우선 5개 시범사업을 통해 민간은 과기정통부, 공공은 국정원 주도로 제도 효과와 도입 가능성을 검증한다. 이후 내년에는 운영 가이드라인을 마련해 참여를 확대하고, 최종적으로 관계 법령을 정비해 법제화를 추진한다.
이 리더는 “참여 기업과 화이트해커를 국가 보안 역량 향상에 기여하는 우수 주체로 인식 전환해야 한다”며 “관계 부처와 안전하고 상시적인 제도 운영 기반을 마련하겠다”고 설명했다.