실제 운영 망 취약점 실전 탐색, 조치 후 공개
통신·게임·금융 핀테크 등 국민 생활 밀접 기업, 공공 기관 보안 선제 점검
[보안뉴스 한세희 기자] 화이트해커가 처벌 받을 걱정 없이 기업이나 기관의 보안 취약점을 찾을 수 있게 된다.
국가인공지능전략위원회와 과학기술정보통신부, 국가정보원, 한국인터넷진흥원(KISA)은 ‘보안 취약점 신고·조치·공개(CVD/VDP) 제도’ 시범 사업을 추진한다고 28일 밝혔다.
19세 이상 대한민국 국민이라면 누구나 화이트해커 등록을 신청해 시범 사업에 참여하는 기업 및 공공기관 15곳의 보안 취약점을 찾을 수 있다.
▲보안 취약점 상시 신고조치제 [출처: 과기정통부]
보안 취약점 신고·조치·공개(CVD/VDP) 제도는 화이트해커가 취약점을 합법적으로 찾고 신고할 수 있도록 하는 ‘취약점 공개 정책’(VDP: Vulnerability Disclosure Policy)과 ‘신고된 취약점을 조치한 이후에 공개하는 정책’(CVD: Coordinated Vulnerability Disclosure)을 말한다.
보안 취약점을 상시적으로 신고할 수 있는 제도다. 일시적 이벤트 형태로 제품이나 가상 망을 대상으로 운영하는 기존 모의해킹이나 취약점 신고 포상제 등과 달리, 실제 운영 망 등에 대해 언제든 화이트해커가 취약점을 탐색할 수 있도록 정책(VDP)을 공개한다. 또 이를 준수하는 범위에서 화이트해커가 취약점을 발굴·신고하면 신고를 받은 기업이나 기관은 조치를 취한 후 투명하게 공개(CVD)한다.
미국·유럽 등에선 널리 운영되고 있으나 국내에는 운영되지 않고 있다. 이에 따라 선의의 정보보호 연구자가 시스템 침해 등의 이유로 처벌을 받을 위험이 있다는 점이 문제로 지적돼 왔다.
지난해 SKT, KT, 쿠팡 등 연쇄 대형 보안 사고 이후 선제적, 실전형 대응 체계가 필요하다는 인식이 커지면서 상시 신고제도 도입 목소리가 커졌다. 범정부 정보보호 종합대책과 AI전략위원회 ‘국내 보안취약점 신고·조치·공개 로드맵’ 등에도 이 제도 도입을 추진한다는 내용이 담겼다.
내년 상시 신고제 제도화 추진에 앞서 시범 사업을 통해 인식을 제고하고 실효성을 사전 검증한다. 최근 클로드 미토스 등 AI기반 상시적 해킹 위협이 현실화됨에 따라, AI를 활용한 해킹도 시범 사업에서 허용한다.
시범 사업엔 IT와 금융 분야 등 기업 7곳과 국민 안전, 보건, 에너지 등 분야 공공기관 8곳 등 15곳이 참여한다. 사고가 생기면 큰 피해가 예상되는 분야 기업과 국민 생활에 밀접한 서비스를 제공하는 기관들이 실제 운영 망과 제품 등에 대해 화이트해커의 취약점 탐색 활동을 허용한다.
화이트해커는 19세 이상 대한민국 국민 누구나 신청할 수 있다. 취약점 발견 과정에서 개인정보 유출, 망 운영저해 등 피해를 막기 위해 △기업·기관별 취약점 탐색 허용 정책(대상 사이트, 허용 범위 등) 마련 △화이트해커 관련 내용 숙지와 사전 윤리교육 이수 △정책 준수 서약 및 개인정보 처리 위탁 체결 등 보완 장치를 마련한다.
내달 12일까지 홈페이지(https://www.cvdvdp.kr)에서 화이트해커 신청을 받는다. 참가자 교육과 승인 절차를 거쳐 6월 이후 취약점 탐색 및 신고, 조치 활동이 이어진다. 최종 발견된 취약점과 조치 결과 등은 연말 공개되며, 우수 취약점을 발굴한 참가자들에 총 16점의 상장과 2000만 원 규모의 상금이 주어진다. .
배경훈 부총리 겸 과기정통부 장관은 “AI 기반 상시 위협에 대응하기 위해선 실전적, 선제적 보안체계 도입이 불가피 하다”며 “이번 시범 사업을 마중물 삼아 보안취약점 상시 신고조치제의 성공적 도입과 안착 등 투명하고 안전한 K-보안 생태계 조성에 기여하겠다”고 밝혔다.
국정원도 “국가 사이버보안 분야에서 중요 파트너인 화이트해커의 전문성을 통해 국가 및 공공기관의 잠재적 취약점을 사전 발굴하고 개선할 수 있기를 기대한다”고 밝혔다.
[한세희 기자(hahn@boannews.com)]
통신·게임·금융 핀테크 등 국민 생활 밀접 기업, 공공 기관 보안 선제 점검
[보안뉴스 한세희 기자] 화이트해커가 처벌 받을 걱정 없이 기업이나 기관의 보안 취약점을 찾을 수 있게 된다.
국가인공지능전략위원회와 과학기술정보통신부, 국가정보원, 한국인터넷진흥원(KISA)은 ‘보안 취약점 신고·조치·공개(CVD/VDP) 제도’ 시범 사업을 추진한다고 28일 밝혔다.
19세 이상 대한민국 국민이라면 누구나 화이트해커 등록을 신청해 시범 사업에 참여하는 기업 및 공공기관 15곳의 보안 취약점을 찾을 수 있다.
▲보안 취약점 상시 신고조치제 [출처: 과기정통부]
보안 취약점 신고·조치·공개(CVD/VDP) 제도는 화이트해커가 취약점을 합법적으로 찾고 신고할 수 있도록 하는 ‘취약점 공개 정책’(VDP: Vulnerability Disclosure Policy)과 ‘신고된 취약점을 조치한 이후에 공개하는 정책’(CVD: Coordinated Vulnerability Disclosure)을 말한다.
보안 취약점을 상시적으로 신고할 수 있는 제도다. 일시적 이벤트 형태로 제품이나 가상 망을 대상으로 운영하는 기존 모의해킹이나 취약점 신고 포상제 등과 달리, 실제 운영 망 등에 대해 언제든 화이트해커가 취약점을 탐색할 수 있도록 정책(VDP)을 공개한다. 또 이를 준수하는 범위에서 화이트해커가 취약점을 발굴·신고하면 신고를 받은 기업이나 기관은 조치를 취한 후 투명하게 공개(CVD)한다.
미국·유럽 등에선 널리 운영되고 있으나 국내에는 운영되지 않고 있다. 이에 따라 선의의 정보보호 연구자가 시스템 침해 등의 이유로 처벌을 받을 위험이 있다는 점이 문제로 지적돼 왔다.
지난해 SKT, KT, 쿠팡 등 연쇄 대형 보안 사고 이후 선제적, 실전형 대응 체계가 필요하다는 인식이 커지면서 상시 신고제도 도입 목소리가 커졌다. 범정부 정보보호 종합대책과 AI전략위원회 ‘국내 보안취약점 신고·조치·공개 로드맵’ 등에도 이 제도 도입을 추진한다는 내용이 담겼다.
내년 상시 신고제 제도화 추진에 앞서 시범 사업을 통해 인식을 제고하고 실효성을 사전 검증한다. 최근 클로드 미토스 등 AI기반 상시적 해킹 위협이 현실화됨에 따라, AI를 활용한 해킹도 시범 사업에서 허용한다.
시범 사업엔 IT와 금융 분야 등 기업 7곳과 국민 안전, 보건, 에너지 등 분야 공공기관 8곳 등 15곳이 참여한다. 사고가 생기면 큰 피해가 예상되는 분야 기업과 국민 생활에 밀접한 서비스를 제공하는 기관들이 실제 운영 망과 제품 등에 대해 화이트해커의 취약점 탐색 활동을 허용한다.
화이트해커는 19세 이상 대한민국 국민 누구나 신청할 수 있다. 취약점 발견 과정에서 개인정보 유출, 망 운영저해 등 피해를 막기 위해 △기업·기관별 취약점 탐색 허용 정책(대상 사이트, 허용 범위 등) 마련 △화이트해커 관련 내용 숙지와 사전 윤리교육 이수 △정책 준수 서약 및 개인정보 처리 위탁 체결 등 보완 장치를 마련한다.
내달 12일까지 홈페이지(https://www.cvdvdp.kr)에서 화이트해커 신청을 받는다. 참가자 교육과 승인 절차를 거쳐 6월 이후 취약점 탐색 및 신고, 조치 활동이 이어진다. 최종 발견된 취약점과 조치 결과 등은 연말 공개되며, 우수 취약점을 발굴한 참가자들에 총 16점의 상장과 2000만 원 규모의 상금이 주어진다. .
배경훈 부총리 겸 과기정통부 장관은 “AI 기반 상시 위협에 대응하기 위해선 실전적, 선제적 보안체계 도입이 불가피 하다”며 “이번 시범 사업을 마중물 삼아 보안취약점 상시 신고조치제의 성공적 도입과 안착 등 투명하고 안전한 K-보안 생태계 조성에 기여하겠다”고 밝혔다.
국정원도 “국가 사이버보안 분야에서 중요 파트너인 화이트해커의 전문성을 통해 국가 및 공공기관의 잠재적 취약점을 사전 발굴하고 개선할 수 있기를 기대한다”고 밝혔다.
[한세희 기자(hahn@boannews.com)]
<저작권자: 보안뉴스(www.boannews.com) 무단전재-재배포금지>
.jpg)
.jpg)
.jpg)
.jpg)
.jpg){kind=small}
.jpg){kind=small}
.jpg){kind=small}
.jpg){kind=small}
.jpg){kind=small}
.JPG){kind=small}
.jpg){kind=small}
.jpg){kind=small}
.jpg){kind=small}
.jpg){kind=small}
.jpg){kind=small}
.jpg){kind=small}
.jpg){kind=small}
