[지디넷코리아]
과기정통부가 일정을 앞당겨 CVD(Coordinated Vulnerability Disclosure, 취약점 신고·조치·공개)제도를 상반기중 시범 시행한다. 당초 하반기 시행하려던 걸 앞당겼다.
CVD는 화이트해커가 보안 구멍을 찾아 신고하면, 해당 기업과 기관은 이를 조치한 뒤 그 과정을 투명하게 공개하는 제도다. 그동안 화이트해커의 기업 및 기관의 네트워크(망) 접근은 현행 정보통신망법상 불법으로 간주됐다. 앞으로는 화이트해커가 민·형사상 처벌 걱정 없이 정해진 범위 내에서 상시 보안 점검을 할 수 있게 법적 보호망이 마련된다.
임정규 과기정통부 정보보호네트워크정책관은 9일 서울시 금천구 소재 파이오링크 4층 회의실에서 열린 ‘개인정보·정보보호산업 발전을 위한 기업현장 간담회’에서 “상반기중 5곳을 선정, CVD 시범사업에 나선다”면서 “성과가 좋으면 내년에 제도화로 정착시키겠다”고 말했다.
이날 행사는 최근 이뤄진 개인정보보호 및 정보보호 관련 법령 개정에 따라 확대되는 보안 투자 수요가 국내 개인정보·정보보호 산업 성장으로 이어질 수 있게 현장의 의견을 청취하고, 정책 방향을 공유하기 위해 마련됐다.
과기정통부와 개인정보위가 공동으로 행사를 주관했다. 개인정보위에서는 송경희 위원장과 양청삼 사무처장, 김직동 과장(국장대리) 등이 참석했다. 과기정통부에서는 임정규 국장과 이종혁 정보보호산업과장이 동참했다.
임 국장은 침해사고를 컨설팅처럼 민간이 전담하자는 기업 제안에 대해서도 의견을 밝히며 “찬반이 있다.아직 (입장이) 유보적”이라고 밝혔다.
한편 이날 간담회에서는 개인정보위가 공공기관을 대상으로 개인정보보호에 관한 예산과 인력 현황을 처음으로 조사해 집계한 사실도 공개됐다. 개인정보위는 이 결과를 예산 당국에 넘겨, 보다 안전한 개인정보보호 국가를 만드는데 필요한 예산과 인력을 요청할 방침이다.
‘개인정보 보호법’이 오는 9월 11일 시행되는 것과 ‘정보통신망 이용촉진 및 정보보호 등에 관한 법률(정보통신망법)’이 10월 1일 개정되는 것에 맞춰 보안기업의 의견을 수렴하기 위해 열린 이날 행사에서 여러 기업 관계자들이 다양한 의견을 제시했다.
서상덕 S2W 대표가 “해커들에 대한 처벌을 강화해야 한다”고 목소리를 높였고 윤원석 라온시큐어 부사장은 모의해커 자격증이 필요하다고 제안했다. 최고 마크애니 대표는 보안에 대한 국민 캠페인을 벌이자고 제언했고, 최근 반도체 등 하드웨어 값 폭등에 따라 수익에 비상이 걸린 보안업계의 지원책 요청도 있었다.
또 수출 확대를 위한 정부 차원의 글로벌 협력 강화와 AI신뢰성 확보에 절대적으로 필요한 AI와 보안 분야간 협업의 장 마련 필요성도 제기됐다. 고준용 시큐어링크 대표는 중소기업 CEO들이 보안 마인드가 없어 보안 솔루션 구매가 잘 안이뤄진다면서 개인정보위와 과기정통부 등 당국이 중소기업 CEO들의 모임에 가서 보안 중요성을 자주 발표하거나 강연해달라고 주문했다.
행사에는 엘에스웨어, SK쉴더스, 파이오링크, 소만사, 지니언스, 라온시큐어, 피앤피시큐어, 티사이언티픽, 마크애니, 위즈코리아, S2W, 셀렉트스타, 시큐어링크, 블루문소프트 등 14개사 대표 및 임원들과 김진수 한국정보보호산업협회장이 참석했다.