.jpg)
‘보안 취약점 신고·조치·공개 제도 도입 로드맵’ 의결
국정자원 대전센터를 2030년까지 폐쇄
[보안뉴스 강현주 기자] 화이트해커가 기업·기관의 보안 취약점을 상시적으로 찾아 신고하고, 피신고 기관은 신고된 취약점을 조치하며 그 이후 투명하게 공개하는 ‘보안 취약점 신고·조치·공개 제도 도입 로드맵’이 심의·의결됐다. 공공은 의무화를, 민간은 참여 촉진 제도들을 마련한다.
25일 국가인공지능(AI)전략위원회는 2차 전체회의를 통해 이 같이 밝혔다.
▲국가인공지능전략위원회는 2차 전체회의 [출처: 국가인공지능전략위원회]
국가 보안 패러다임 ‘사전예방’ 전환
이 로드맵은 해킹 등 보안사고를 사전에 예방하기 위한 목적이다. 기존 사후 대응 중심의 국내 정보보안 패러다임을 사전 예방으로 전환하기 위해 마련한 로드맵이다.
현재 국내 보안 제도는 1회성·체크리스트 중심 점검에 절차 평가 위주로 실시간으로 이루어지고 상시적으로 고도화되는 해킹 등에 대응하기에 어려움이 있다.
반면 미국·유럽은 보안 취약점 신고·조치·공개 제도(CVD/VDP)를 이미 운영 중이다. 그 배경에는 2010년~2020년대 세계적인 보안 대란사태가 있었다. 위원회는 유사한 시대적 상황에서 AI를 활용한 신종 위협이 더욱 확산되는 지금, 미국·유럽이 도입한 해당 제도를 벤치마킹, 공공·민간 전반에 단계적으로 도입해 현재의 국가적 보안 사태를 극복한다는 방침이다.
초기에는 참여 기업·기관 모집을 통해 시행하되 궁극적으로는 공공은 의무화하고 민간은 공공조달 연계 등 전면적 참여를 유도한다.
공공의 경우 기관 평가와 연계, 민간의 경우 보안인증 가점, 공공조달, 개인정보보호법에 따른 사고시 과징금 감경 요소에 반영, 화이트해커는 신고포상제 활성화로 초기 참여를 유도한다.
초기에는 참여기업·기관-화이트해커 상호 협의하에 제한적으로 운영하되, 궁극적으로는 화이트해커가 민·형사 처벌 걱정 없이 상시적으로 기업·기관이 정한 정책 범위(해킹범위, 신고방식 등) 내에서 선의적 목적의 해킹을 할수 있게 관계 법령을 정비한다.
현재는 화이트해커의 망 접근이 불법으로, 제품만을 대상으로 한 취약점 신고 포상제만 운영되고 있으며 이마저도 신고된 취약점에 대한 조치 강제력 없이 연중 상시가 아닌 주기적(분기별 1회 등) 이벤트성으로 운영되고 있다.
추진 로드맵은 △1단계 시범사업 △2단계 참여 확대 △3단계 법제화로 진행된다.
2026년에는 과기정통부·국정원 주도로 민간·공공분야 시범 사업을 운영하여 국내 제도 도입 효과를 사전에 검증한다.
2027년에는 시범사업 결과 바탕으로 민간(과기정통부)·공공(국정원)분야 제도설계 및 관련 가이드라인을 마련·배포하며, 이외 부처들은 민간·공공의 참여 유인(과징금, 조달 연계 등)을 제도화한다.
2단계 이후 최대한 조속히 관계 법령(정보통신망법 등) 개정을 완료해 공공 의무화·민간 전면 참여 촉진과 상시적 제도운영을 뒷받침할 법·제도적 기반을 완성한다.
민감·공개 데이터는 민간 클라우드로 이관
이와 함께 정부는 대통령 지시에 따라 국가정보 관리 시스템을 근본적으로 재설계하기 위한 ‘AI정부 인프라 거버넌스·혁신 추진방향’을 심의·의결했다.
정부는 정부·공공 부문 데이터센터 안전기준을 민간 수준 이상으로 강화하고, 재해 대응 능력과 수용 용량의 한계에 도달한 국가정보자원관리원(국정자원) 대전센터를 2030년까지 폐쇄할 계획이다.
또 국민 생활 영향도를 고려한 시스템 유형별 복구목표기준을 마련하는 등 재해복구체계(DR) 구축 방향을 정립한다.
데이터 중요도에 따라 기밀(Classified) 데이터는 정부·공공 데이터센터, 민감(Sensitive)·공개(Open) 데이터는 민간 클라우드로 이관하는 방향으로 추진한다.
올해에는 국정자원 대전센터 시스템(693개) 등을 대상으로 DR 시스템 134개를 우선 구축하고, 이 중 3개 핵심 시스템(디브레인, 우편정보시스템, 안전디딤돌) 중심으로 민간 클라우드 기반 DR 구축 선도 프로젝트를 추진한다. 또한, 시스템 분류 등을 고려한 국정자원의 공공 정보시스템을 재배치하는 로드맵도 수립할 계획이다.
과학기술부총리 산하에 관계부처 합동으로 AI정부 인프라 총괄 전담조직을 신설해 공공 정보시스템 구축·운영의 적정성을 검토한다. 영국 정부디지털청(GDS) 등 해외사례를 참고한 중장기 거버넌스 재설계 방안도 마련할 예정이다.
이 외에도 위원회는 대한민국 인공지능행동계획, AI정부 인프라 거버넌스·혁신 추진방향, 국가인공지능전략위원회 운영세칙 일부개정안도 의결, 총 5개의 안건을 의결했다.
임문영 위원회 상근 부위원장은 “오늘 주요 정책들의 의결을 통해, 앞으로 우리 정부가 추진해 나갈 방향이 구체적으로 설계됐다”며 “각 부처는 최종 확정된 인공지능행동계획을 책임 있게 이행해 주길 바라며, 위원회는 이에 필요한 정책적 조율과 지원을 아끼지 않을 것”이라고 밝혔다.
[강현주 기자(jjoo@boannews.com)]
국정자원 대전센터를 2030년까지 폐쇄
[보안뉴스 강현주 기자] 화이트해커가 기업·기관의 보안 취약점을 상시적으로 찾아 신고하고, 피신고 기관은 신고된 취약점을 조치하며 그 이후 투명하게 공개하는 ‘보안 취약점 신고·조치·공개 제도 도입 로드맵’이 심의·의결됐다. 공공은 의무화를, 민간은 참여 촉진 제도들을 마련한다.
25일 국가인공지능(AI)전략위원회는 2차 전체회의를 통해 이 같이 밝혔다.
▲국가인공지능전략위원회는 2차 전체회의 [출처: 국가인공지능전략위원회]
국가 보안 패러다임 ‘사전예방’ 전환
이 로드맵은 해킹 등 보안사고를 사전에 예방하기 위한 목적이다. 기존 사후 대응 중심의 국내 정보보안 패러다임을 사전 예방으로 전환하기 위해 마련한 로드맵이다.
현재 국내 보안 제도는 1회성·체크리스트 중심 점검에 절차 평가 위주로 실시간으로 이루어지고 상시적으로 고도화되는 해킹 등에 대응하기에 어려움이 있다.
반면 미국·유럽은 보안 취약점 신고·조치·공개 제도(CVD/VDP)를 이미 운영 중이다. 그 배경에는 2010년~2020년대 세계적인 보안 대란사태가 있었다. 위원회는 유사한 시대적 상황에서 AI를 활용한 신종 위협이 더욱 확산되는 지금, 미국·유럽이 도입한 해당 제도를 벤치마킹, 공공·민간 전반에 단계적으로 도입해 현재의 국가적 보안 사태를 극복한다는 방침이다.
초기에는 참여 기업·기관 모집을 통해 시행하되 궁극적으로는 공공은 의무화하고 민간은 공공조달 연계 등 전면적 참여를 유도한다.
공공의 경우 기관 평가와 연계, 민간의 경우 보안인증 가점, 공공조달, 개인정보보호법에 따른 사고시 과징금 감경 요소에 반영, 화이트해커는 신고포상제 활성화로 초기 참여를 유도한다.
초기에는 참여기업·기관-화이트해커 상호 협의하에 제한적으로 운영하되, 궁극적으로는 화이트해커가 민·형사 처벌 걱정 없이 상시적으로 기업·기관이 정한 정책 범위(해킹범위, 신고방식 등) 내에서 선의적 목적의 해킹을 할수 있게 관계 법령을 정비한다.
현재는 화이트해커의 망 접근이 불법으로, 제품만을 대상으로 한 취약점 신고 포상제만 운영되고 있으며 이마저도 신고된 취약점에 대한 조치 강제력 없이 연중 상시가 아닌 주기적(분기별 1회 등) 이벤트성으로 운영되고 있다.
추진 로드맵은 △1단계 시범사업 △2단계 참여 확대 △3단계 법제화로 진행된다.
2026년에는 과기정통부·국정원 주도로 민간·공공분야 시범 사업을 운영하여 국내 제도 도입 효과를 사전에 검증한다.
2027년에는 시범사업 결과 바탕으로 민간(과기정통부)·공공(국정원)분야 제도설계 및 관련 가이드라인을 마련·배포하며, 이외 부처들은 민간·공공의 참여 유인(과징금, 조달 연계 등)을 제도화한다.
2단계 이후 최대한 조속히 관계 법령(정보통신망법 등) 개정을 완료해 공공 의무화·민간 전면 참여 촉진과 상시적 제도운영을 뒷받침할 법·제도적 기반을 완성한다.
민감·공개 데이터는 민간 클라우드로 이관
이와 함께 정부는 대통령 지시에 따라 국가정보 관리 시스템을 근본적으로 재설계하기 위한 ‘AI정부 인프라 거버넌스·혁신 추진방향’을 심의·의결했다.
정부는 정부·공공 부문 데이터센터 안전기준을 민간 수준 이상으로 강화하고, 재해 대응 능력과 수용 용량의 한계에 도달한 국가정보자원관리원(국정자원) 대전센터를 2030년까지 폐쇄할 계획이다.
또 국민 생활 영향도를 고려한 시스템 유형별 복구목표기준을 마련하는 등 재해복구체계(DR) 구축 방향을 정립한다.
데이터 중요도에 따라 기밀(Classified) 데이터는 정부·공공 데이터센터, 민감(Sensitive)·공개(Open) 데이터는 민간 클라우드로 이관하는 방향으로 추진한다.
올해에는 국정자원 대전센터 시스템(693개) 등을 대상으로 DR 시스템 134개를 우선 구축하고, 이 중 3개 핵심 시스템(디브레인, 우편정보시스템, 안전디딤돌) 중심으로 민간 클라우드 기반 DR 구축 선도 프로젝트를 추진한다. 또한, 시스템 분류 등을 고려한 국정자원의 공공 정보시스템을 재배치하는 로드맵도 수립할 계획이다.
과학기술부총리 산하에 관계부처 합동으로 AI정부 인프라 총괄 전담조직을 신설해 공공 정보시스템 구축·운영의 적정성을 검토한다. 영국 정부디지털청(GDS) 등 해외사례를 참고한 중장기 거버넌스 재설계 방안도 마련할 예정이다.
이 외에도 위원회는 대한민국 인공지능행동계획, AI정부 인프라 거버넌스·혁신 추진방향, 국가인공지능전략위원회 운영세칙 일부개정안도 의결, 총 5개의 안건을 의결했다.
임문영 위원회 상근 부위원장은 “오늘 주요 정책들의 의결을 통해, 앞으로 우리 정부가 추진해 나갈 방향이 구체적으로 설계됐다”며 “각 부처는 최종 확정된 인공지능행동계획을 책임 있게 이행해 주길 바라며, 위원회는 이에 필요한 정책적 조율과 지원을 아끼지 않을 것”이라고 밝혔다.
[강현주 기자(jjoo@boannews.com)]
<저작권자: 보안뉴스(www.boannews.com) 무단전재-재배포금지>
.jpg)
.jpg)
.jpg)
.jpg){kind=small}
.jpg){kind=small}
.jpg){kind=small}
.jpg){kind=small}
.jpg){kind=small}
.jpg){kind=small}
.jpg){kind=small}
.jpg){kind=small}
.JPG){kind=small}
.jpg){kind=small}
.jpg){kind=small}
.jpg){kind=small}
.jpg){kind=small}
.jpg){kind=small}
.jpg){kind=small}
.jpg){kind=small}
