국가AI전략위 ‘보안취약점 상시 신고조치제’ 제도화 세미나 개최
“선의의 연구자 보상 및 기업의 노력 인센티브 확대 필요”
[보안뉴스 강현주 기자] “사이버 공격자들은 암시장에서 취약점 하나로 수억, 수십억 원을 쉽게 벌어들이는 반면 선의의 연구자인 화이트해커들은 사업 전체 차원에서도 고작 몇천만 원 수준의 보상에 그칩니다. 선과 악의 갈림길에서 올바른 선택을 할 수 있는 동기부여 강화가 필요합니다.”
“취약점이 드러났을 때 기업을 비난하고 책임자를 찾아 문책하는 사회적 분위기에서 벗어나, 오히려 취약점을 빠르게 찾고 대응하는 것을 칭찬하고 포상하는 문화로의 전환이 필요합니다.”
18일 국가AI전략위원회가 개최한 ‘보안취약점 상시 신고조치제(CVD·VDP) 제도화 세미나’ 장에서 나온 목소리다.
▲‘보안취약점 상시 신고조치제(CVD·VDP) 제도화 세미나’ 현장 [출처: 국가AI전략위원회]
보안취약점 상시 신고조치제는 기존 공공기관·민간기업에서 일시적 이벤트 형태로 운영하는 모의해킹, 취약점 신고 포상제와 달리 실제 운영 망을 대상으로 365일, 24시간 화이트해커가 취약점을 탐색해 이를 신고할 수 있도록 한 제도다. 해당 기업 및 기관은 조치 내역을 투명하게 공개해야 한다.
정부는 지난해 연이은 통신사 및 롯데카드, 쿠팡 등 해킹 사태와 최근 미토스 쇼크로 불리는 AI 기반 상시적 해킹 위협이 현실화됨에 따라 이달부터 보안취약점 상시 신고조치제 시범 사업을 진행 중이다.
이 날 세미나에서는 사이버 공격 속도가 급격히 빨라지는 가운데, 선제적 보안 체계로 전환하기 위해 취약점을 찾고 개선하는 선의의 연구자들과 기업들에 대한 보상과 인센티브가 확대돼야 한다는 공감대가 형성됐다.
발제에 나선 구동언 로그프레소 전무는 선의를 가진 연구자들도 저조한 보상과 불편한 절차가 지속된다면 결국 악의적인 유혹에 노출될 수 있다는 점을 지적했다.
구 전무는 “공격자들은 취약점으로 암시장에서 수십억씩 버는 데 화이트해커는 사업 전체 차원에서 수천만원 수입에 그치는 실정”이라며 “선의의 연구자를 붙잡을 수 있는 보상이 단계적으로 높아져야 한다고 밝혔다.
이어 “주요 참여층인 10대 연구자들에게 지나치게 복잡한 의무 윤리교육이나 신고 동의 절차 등이 장벽이될 수 있다”고 말했다.
그는 취약점을 적극적으로 찾고 개선하며 공유하는 기업들에게도 공개에 대한 부담을 덜어주고 인센티브가 제공돼야 한다고 지적했다.
구 전무는 “취약점을 찾고 개선해 나가는 과정은 사회에 긍정적인 에너지를 만들어내는 일이어야 하는데, 현실은 책임질 사람을 찾아 비난하고 문책하기 바쁘다”며 “기업이 취약점을 숨기지 않고 해결할 수 있도록 분위기를 바꿔야 하며, 오히려 문제를 잘 찾고 빠르게 대응하는 기업을 칭찬하고 격려하는 문화가 정착되도록 제도화가 진행돼야 한다”고 말했다.
현재 정부가 시범사업으로 운영 중인 보안취약점 상시 신고조치제가 2027년부터 원활히 본 사업으로 이어지려면 조속한 제도화 정착이 필요하다는 논의가 이어졌다.
김진수 KISIA 회장은 “미토스나 이전 AI 모델을 활용한 공격으로도 대규모 개인정보 유출 등 다양한 위협이 발생할 수 있는 만큼, 시범사업 후 제도화를 검토하는 기존 방식으로는 늦는다”며 “시범사업과 제도화 논의가 동시에 병행돼야 한다”고 말했다.
선의의 목적의 화이트해커 활동에 대한 법적 면책 근거 마련에 속도를 내야 한다는 법조계 목소리도 나왔다.
이 세미나는 보안취약점 상시 신고조치제 시범 사업 이후 제도화를 지원하기 위해 마련됐다. 배경훈 국가AI전략위 부위원장이자 부총리 겸 과학기술정보통신부 장관과 이원태 보안특위 위원장 등 위원회 위원, 과기정통부·국정원·개인정보위·한국인터넷진흥원 등 관계 기관, 삼성생명·LG유플러스·엔씨·잉카인터넷·토스페이먼츠 등 시범사업 참여기업을 포함해 50여 명이 참석했다.
이원태 위원장을 좌장으로 이태승 한국인터넷진흥원(KISA) 연구위원, 구동언 로그프레소 전무, 김진수 한국정보보호산업협회(KISIA) 회장, 정석윤 법무법인 원 변호사가 발제자로 나섰다. 김경훈 카카오 AI 세이프티 리더와 유창하 법무법인 린 미국 변호사도 패널로 참석했다.
[강현주 기자(jjoo@boannews.com)]
“선의의 연구자 보상 및 기업의 노력 인센티브 확대 필요”
[보안뉴스 강현주 기자] “사이버 공격자들은 암시장에서 취약점 하나로 수억, 수십억 원을 쉽게 벌어들이는 반면 선의의 연구자인 화이트해커들은 사업 전체 차원에서도 고작 몇천만 원 수준의 보상에 그칩니다. 선과 악의 갈림길에서 올바른 선택을 할 수 있는 동기부여 강화가 필요합니다.”
“취약점이 드러났을 때 기업을 비난하고 책임자를 찾아 문책하는 사회적 분위기에서 벗어나, 오히려 취약점을 빠르게 찾고 대응하는 것을 칭찬하고 포상하는 문화로의 전환이 필요합니다.”
18일 국가AI전략위원회가 개최한 ‘보안취약점 상시 신고조치제(CVD·VDP) 제도화 세미나’ 장에서 나온 목소리다.
▲‘보안취약점 상시 신고조치제(CVD·VDP) 제도화 세미나’ 현장 [출처: 국가AI전략위원회]
보안취약점 상시 신고조치제는 기존 공공기관·민간기업에서 일시적 이벤트 형태로 운영하는 모의해킹, 취약점 신고 포상제와 달리 실제 운영 망을 대상으로 365일, 24시간 화이트해커가 취약점을 탐색해 이를 신고할 수 있도록 한 제도다. 해당 기업 및 기관은 조치 내역을 투명하게 공개해야 한다.
정부는 지난해 연이은 통신사 및 롯데카드, 쿠팡 등 해킹 사태와 최근 미토스 쇼크로 불리는 AI 기반 상시적 해킹 위협이 현실화됨에 따라 이달부터 보안취약점 상시 신고조치제 시범 사업을 진행 중이다.
이 날 세미나에서는 사이버 공격 속도가 급격히 빨라지는 가운데, 선제적 보안 체계로 전환하기 위해 취약점을 찾고 개선하는 선의의 연구자들과 기업들에 대한 보상과 인센티브가 확대돼야 한다는 공감대가 형성됐다.
발제에 나선 구동언 로그프레소 전무는 선의를 가진 연구자들도 저조한 보상과 불편한 절차가 지속된다면 결국 악의적인 유혹에 노출될 수 있다는 점을 지적했다.
구 전무는 “공격자들은 취약점으로 암시장에서 수십억씩 버는 데 화이트해커는 사업 전체 차원에서 수천만원 수입에 그치는 실정”이라며 “선의의 연구자를 붙잡을 수 있는 보상이 단계적으로 높아져야 한다고 밝혔다.
이어 “주요 참여층인 10대 연구자들에게 지나치게 복잡한 의무 윤리교육이나 신고 동의 절차 등이 장벽이될 수 있다”고 말했다.
그는 취약점을 적극적으로 찾고 개선하며 공유하는 기업들에게도 공개에 대한 부담을 덜어주고 인센티브가 제공돼야 한다고 지적했다.
구 전무는 “취약점을 찾고 개선해 나가는 과정은 사회에 긍정적인 에너지를 만들어내는 일이어야 하는데, 현실은 책임질 사람을 찾아 비난하고 문책하기 바쁘다”며 “기업이 취약점을 숨기지 않고 해결할 수 있도록 분위기를 바꿔야 하며, 오히려 문제를 잘 찾고 빠르게 대응하는 기업을 칭찬하고 격려하는 문화가 정착되도록 제도화가 진행돼야 한다”고 말했다.
현재 정부가 시범사업으로 운영 중인 보안취약점 상시 신고조치제가 2027년부터 원활히 본 사업으로 이어지려면 조속한 제도화 정착이 필요하다는 논의가 이어졌다.
김진수 KISIA 회장은 “미토스나 이전 AI 모델을 활용한 공격으로도 대규모 개인정보 유출 등 다양한 위협이 발생할 수 있는 만큼, 시범사업 후 제도화를 검토하는 기존 방식으로는 늦는다”며 “시범사업과 제도화 논의가 동시에 병행돼야 한다”고 말했다.
선의의 목적의 화이트해커 활동에 대한 법적 면책 근거 마련에 속도를 내야 한다는 법조계 목소리도 나왔다.
이 세미나는 보안취약점 상시 신고조치제 시범 사업 이후 제도화를 지원하기 위해 마련됐다. 배경훈 국가AI전략위 부위원장이자 부총리 겸 과학기술정보통신부 장관과 이원태 보안특위 위원장 등 위원회 위원, 과기정통부·국정원·개인정보위·한국인터넷진흥원 등 관계 기관, 삼성생명·LG유플러스·엔씨·잉카인터넷·토스페이먼츠 등 시범사업 참여기업을 포함해 50여 명이 참석했다.
이원태 위원장을 좌장으로 이태승 한국인터넷진흥원(KISA) 연구위원, 구동언 로그프레소 전무, 김진수 한국정보보호산업협회(KISIA) 회장, 정석윤 법무법인 원 변호사가 발제자로 나섰다. 김경훈 카카오 AI 세이프티 리더와 유창하 법무법인 린 미국 변호사도 패널로 참석했다.
[강현주 기자(jjoo@boannews.com)]
<저작권자: 보안뉴스(www.boannews.com) 무단전재-재배포금지>
.jpg)
.jpg)
.jpg)
.jpg)
.jpg)
.png)
.jpg)
.jpg)
.jpg){kind=small}
.jpg){kind=small}
.jpg){kind=small}
.jpg){kind=small}
.jpg){kind=small}
.png){kind=small}
.JPG){kind=small}
.jpg){kind=small}
.jpg){kind=small}
.jpg){kind=small}
.jpg){kind=small}
.jpg){kind=small}
