정부가 보안 취약점 상시 신고·조치·공개제도(CVD/VDP)의 시범 사업을 추진한다. 안전하고 투명한 보안 생태계 구축을 위해서다. 기업과 기관의 보안 취약점을 화이트해커가 합법적으로 해킹할 수 있는 제도다. 단, 해킹 대상과 범위 등은 기업과 기관이 제시한 지침과 정책한도내에서 가능하다. 정부는 5개월간 시범 운영한 후 내년에 본격 제도를 시행할 예정이다. 이번 시범사업에는 민간기업 7곳과 공공기관 8곳 등 총 15곳이 참여한다.
28일 국가인공지능전략위원회(위원장 이재명 대통령)와 과학기술정보통신부, 국가정보원, 한국인터넷진흥원(KISA)은 공동으로 이 같은 내용을 발표했다.
VDP(Vulnerability Disclosure Policy)는 화이트해커가 회사 취약점을 합법적으로 찾고 신고할 수 있게 한 ‘취약점 공개 정책’을 말하고, CVD(Coordinated Vulnerability Disclosure)는 신고된 취약점을 조치한 이후 공개하는 정책을 말한다. 그동안 우리나라는 미국과 달리 VDP가 법적 문제로 불가능했다.
새로 시행하는 보안취약점 상시 신고조치제는 기존 공공기관·민간기업 등에서 일시적 이벤트 형태로 제품·가상 망을 대상으로 운영하는 모의해킹, 취약점 신고 포상제(분기별)와 다르다.
실제 운영 망 등에 대해 365일, 24시간 선의의 정보보호 연구자(‘화이트해커’)가 취약점을 탐색할 수 있게 기업과 기관이 보안 정책(VDP)을 공개하고, 이를 준수하는 범위 내에서 화이트해커가 취약점을 발굴해 신고하면 피신고 기업과 기관이 조치 이후 투명하게 공개하는 정책(CVD)이다. 이 제도는 이미 미국·유럽 등에 널리 운영되고 있지만 국내서는 운영되지 않고 있다.
즉, 미국은 공공기관의 경우 이를 의무화했고, 민간기업은 자율이나 공공조달 제품에 해당제도 운영 요건을 필수화했다. EU 역시 공공기관은 의무화고, 민간기업도 에너지·운송·우편 등 국민 생활 필수 및 중요 분야는 의무화했다.
정부는 지난해 연쇄 대형 보안사고를 계기로 상시적이고 선제적, 실전형 대응 체계의 필요성을 인식하고 이들 제도를 포함한 '정보보호 종합대책(’25.10월, 국가안보실 주도 범정부 합동)'과 '국내 보안취약점 신고·조치·공개 로드맵(’26.2월, AI전략위원회 보안특위)'을 수립하는 등 해당 제도의 국내 도입을 검토해왔다.
이번 시범 사업은 내년부터 본격 추진할 제도화에 앞서 대국민 인식 제고와 그 실효성을 사전에 검증하기 위한 목적으로 추진한다. 특히 최근 미토스발 AI기반 상시적 해킹 위협이 현실화 됨에 따라, 환경 변화에 발맞춘 실전적, 상시적 방어 역량 향상을 위해 참여 화이트해커들의 AI활용 해킹도 시범 사업에서 허용할 방침이다.
■ LG유플러스 등 7개 민간기업과 행안부 등 8개 공공기관 참여
민간의 경우 통신사·게임·금융/핀테크 등 사고발생 시 대규모 피해가 예상되는 분야 기업들이, 공공의 경우 안전·보건의료·전력·교통 등 대국민 밀접 서비스를 제공하는 기관들이 자발적으로 참여, 자사 실제 운영 망과 제품 등에 대해 화이트해커의 취약점 탐색 활동을 허용한다. 민간은 LG유플러스, 넥슨, 엔씨, 토스페이먼츠, 삼성생명 등 도메인 기업과 보안SW기업인 이스트시큐리티와 잉카인터넷이 차여한다. 공공은 행안부 국민안전24, 국토부 국가교통정보센터 등이 참여한다.
■ 대한민국 국적 보유 19세 이상 누구나 참여 가능
참가 화이트해커는 대한민국 국적 보유 19세 이상이면 누구나 신청할 수 있다. 인원 규모는 별도 제한을 두지 않는다. 다만 실제 운영 망에 대한 취약점 발견 과정에서 개인정보 유출, 망 운영저해 등 국민·기업의 피해를 방지하기 위해 △기업과 기관별 취약점 탐색 허용 정책(대상 사이트, 허용 범위 등) 마련 △ 화이트해커 관련 내용 숙지와 사전 윤리교육 이수 △ 해당 정책 준수 서약 및 개인정보 처리 위탁 체결 등 보완 장치를 마련해 운영해 나갈 계획이다.
■ 6월 12일까지 참가 접수...11월 취약점 탐색 및 신고, 조치후 연말 결과 공개
이번달 29일부터 오는 6월 12일까지 2주간 홈페이지(https://www.cvdvdp.kr)를 통해 대국민 참가 희망 화이트해커 접수를 진행한다. 이후 참가자 교육과 승인 절차를 거쳐 6월 이후 본격적인 취약점 탐색/신고/조치 활동을 약 5개월간 한다. 최종 발견한 취약점과 조치 결과 등은 연말 공개할 예정이며 우수 취약점을 발굴한 화이트해커에게는 공공과 민간을 통틀어 총 16점의 상장과 2000만 원 규모의 상금 수여 등 격려 체계도 운영한다.
관련기사
- 과기정통부, 일정 앞당겨 CVD 상반기 시범 실시2026.04.10
- 아이에스티이, PECVD 장비 특허 취득…"하이브리드 본딩 등 적용"2025.03.28
- "대형마트 규제 개선, 실행은?"…유통 B 학점2026.05.28
- 현대차 배터리 구독, 니오·르노와 다른 길 간다2026.05.27
배경훈 위원회 부위원장이자 부총리 겸 과학기술정보통신부 장관은 “AI시대 보안은 국가 경제와 안보를 지탱하는 핵심기반이라며, 미토스 사태가 촉발한 AI기반의 상시 위협에 대응하기 위해서는 실전적이고 선제적인 보안체계 도입이 불가피 하다”고 강조했다. 이어 “이번 시범 사업을 마중물 삼아 보안취약점 상시 신고조치제의 성공적인 도입과 안착 등 투명하고 안전한 K-보안 생태계 조성에 적극 기여하겠다”고 밝혔다.
국정원은 “국가 사이버보안 분야에서 중요 파트너인 화이트해커의 전문성을 통해 국가·공공기관의 잠재적 취약점을 사전에 발굴하고 개선할 수 있기를 기대한다”며 “보안취약점 상시 신고조치제가 조기에 정착할 수 있도록 시범 사업 진행에 만전을 기하겠다”고 말했다.
