“취약점 찾아내면 취약한 기업이라 오해”... CVD·VDP 정착하려면?

2026-07-09 18:40
  • 카카오톡
  • 네이버 블로그
  • url
열심히 하면 되레 평판 걱정... 인식전환 절실
“참여 기업 인센티브 강화 연구자 보상 강화 필요”
“면책 기준 명확해야... 선의·악의 구분은 ‘정책 이탈’ 여부”


[보안뉴스 강현주 기자] “취약점을 열심히 찾아내면 취약한 기업이라는 오해를 받습니다. 보안 노력이 되레 평판 부담이 돼야 하는 현실을 개선하기 위한 인식 전환이 필요합니다.”

‘제15회 정보보호의 날 기념식’ 현장에서 나온 목소리다.

8일 서울 용산 피스앤파크컨벤션에서 열린 이번 기념식에서는 ‘보안취약점 상시 신고조치제(CVD·VDP) 발전 방안 패널토의’가 진행됐다. 패널들은 제도 정착을 위해 ‘인식전환’과 참여기업에 대한 인센티브, 선의의 연구자(화이트해커)에 대한 보상 강화, 명확한 기준이 필요하다고 의견을 모았다.


▲CVD·VDP 발전 방안 패널토의 현장 [출처: 보안뉴스]

유진호 상명대학교 교수가 좌장을 맡아 토의를 이끌었다. 선의의 연구자 대표로 박찬암 스틸리언 대표, 이종호 토스 보안기술팀 리더, 기업 대표로 홍관희 LG유플러스 정보보호최고책임자(CISO), 공공기관 대표로 박동욱 한국교통안전공단 과장, 법조계 대표로 손태진 법무법인 선우 변호사가 참석했다.

“집단지성 통한 보안 사각지대 해소 효과”
CVD·VDP는 일시적 이벤트 형태로 운영하는 모의해킹이나 버그바운티와 달리 실제 운영 망을 대상으로 상시로 선의의 해커가 취약점을 탐색해 이를 신고할 수 있도록 한 제도다. 해당 기업 및 기관은 발견된 취약점을 조치 완료 후 내역을 투명하게 공개한다.

정부 CVD·VDP 시범사업에 참여하고 있는 홍관희 LG유플러스 CISO는 “CVD·VDP는 내부 보안 팀이 놓치는 사각지대를 집단지성으로 빠르게 찾아서 방어 역량을 확보하는 효과가 분명 있다”며 “음지에 있던 것을 양지로 나오게 하는 측면도 있다”고 밝혔다.

시범사업에 참여하는 공공기관인 한국교통안전공단 박동우 과장도 이에 공감햇다. 박 과장은 “내부 모의해킹보다 외부 연구자들이 찾은 블랙박스 모의해킹으로 중요한 취약점들을 더 많이 찾았고 양질의 보고서들이 나올 수 있었다”며 “다각도로 취약점을 찾아주시니 감사한 부분”이라고 말했다.

노력할수록 평판 부담 떠안는 모순... 동기부여 강화해야
기업이 CVD·VDP에 참여하는 데 따르는 현실적 우려와 부담도 다뤄졌다.

홍관희 CISO는 “나중에 취약점이 나오면 공개가 될 텐데, 사람들이 취약점의 질을 가지고 논의하기보다는 단순히 숫자만 가지고 ‘A사는 많이 나왔으니 취약해, B사는 안 나왔으니까 잘하고 있어’라고 오해할 우려가 있다”고 말했다. 취약점을 찾아 보안을 강화하려는 노력을 할수록 오히려 평판 부담을 떠안아야 하는 모순이 문제라는 지적이다.

그는 “참여한다는 것 자체가 취약점들을 찾고 조치할 역량이 되니까 참여한다는 부분도 평가해 줄 필요가 있다”고 강조했다.

홍관희 CISO는 “기업이 이 프로그램에 참여하면서 쓰는 운영 비용이나 법적 리스크, 평판 부담보다 얻는 이득이 더 커야 많은 기업이 참여하게 할 수 있을 것”이라며 “과징금 경감 참작 외에도 중복적 규제 면제 같은 실질적 혜택이 주어져야 한다”고 했다.

박동욱 과장은 “기관 입장에서도 취약점 공개 부담, 드러난 취약점 관리 업무로 인한 현업 병목 등으로 부담이 되는 제도인 것은 사실”이라며 “보안 담당자 자리가 오고 싶은 자리가 되도록 하는 동기부여, 공공기관 평가 시 감점 감경책 등의 검토가 필요하다”고 말했다.

연구자들의 활발한 참여를 유도하기 위한 보상 강화 의견도 오갔다.

박찬암 스틸리언 대표는 국내 버그바운티 등의 보상 규모가 해외에 비해 미흡한 현실을 짚으며 “CVD·VDP 역시 자발적으로 하고 싶다는 마음이 생기도록 보상 및 유인책 강화가 필요하다”고 말했다.

이종호 토스 보안기술팀 리더는 “해외의 경우 표준화된 플랫폼을 통한 공정한 측정과 평가로 연구자의 실적이 될 수 있게 한다”며 “국내에도 선의의 연구자의 활동이 자산이 될 수 있도록 상호협력하는 토대가 필요하다”고 말했다.

이와 관련 박동욱 과장은 “보고서 퀄리티 점수를 공정하고 형평성있게 채점해서 연구자들 포트폴리오가 되도록 한다면 공공기관은 보안을 강화하고 연구자에겐 실적이 되는 상호협력 프로토콜을 만들 방안이 되지 않을까”라고 했다.

“기준 모호하면 법적 리스크... 중재자 역할 중요”
이어 해커들의 활동에 대한 적법성과 면책에 대한 논의로 이어졌다.

손태진 법무법인 선우 변호사는 “법 없이도 진행될 수는 있지만 해석이 불분명한 부분들을 명확히 하며 활성화 시키자는 게 CVD·VDP의 취지”라며 “해커의 남용 가능성과 취약점 공개를 꺼리는 정서를 볼 때, 제가 기업 입장이라면 취약점이 가장 적게 나올 가능성이 높은 데 위주로 범위를 정할 것 같다”고 말했다.

이어 “이러한 부분들을 잘 생각해주셔서 맹점이 없는 방향으로 해주시길 바란다”고 말했다.

박찬암 대표는 “화이트해커 입장에서 ‘이것만 확실히 딱 하면 된다’라는 보안 절차나 취약점 결과물 파기 절차 등이 명확히 있어야, 누군가 사고가 났을 때도 모두의 문제가 아니라 그 사람만의 문제로 끝날 수 있다”라며 “기준이 모호할 경우 선의의 연구자가 억울하게 책임을 뒤집어쓸 수 있다”고 지적했다.

박동욱 과장은 “연구자들의 활동으로 양질의 취약점을 찾아 조치할 수 있다는 점은 고마운 부분이지만 정해진 약속 범위를 벗어나는 활동까지 하는 경우가 있다”고 말했다. 이러한 경우들로 인해 연구자들의 활동이 선의와 악의의 구분이 어려워진다는 지적으로 이어졌다.

이와 관련 청중에서도 견해가 나왔다.

윤인수 카이스트 교수는 “선의와 악의 여부는 ‘행위’를 기준으로 판단하는 것으로, 잡혀있는 정책(Policy)을 벗어나는 행위를 하면 그건 선의가 아니라고 봐야 한다”며 “그러한 행위를 하는 이들에게 어떤 제재를 내리는 것은 중재자의 역할”이라고 말했다. 그는 “CVD·VDP가 기업과 선의의 해커가 윈윈하는 제도로 발전하길 바라며, 이를 위해 중재자의 역할이 중요하다”고 강조했다.

[강현주 기자(jjoo@boannews.com)]

<저작권자: 보안뉴스(www.boannews.com) 무단전재-재배포금지>

연관 뉴스

헤드라인 뉴스

TOP 뉴스

이전 스크랩하기


과월호 eBook List 정기구독 신청하기

    • 시큐리티플랫폼

    • 인콘

    • 엔텍디바이스

    • 핀텔

    • 아이비젼

    • 아이디스

    • 인피닉

    • 웹게이트

    • 판빌코리아

    • 하이크비전

    • 한화비전

    • ZKTeco

    • 비엔에스테크

    • 엔토스정보통신

    • 원우이엔지

    • 지인테크

    • 에스엠시스템즈

    • 이화트론

    • 에스비젼

    • 테크스피어

    • 휴먼인텍

    • 슈프리마

    • 홍석

    • 시큐인포

    • 미래정보기술(주)

    • 티비티

    • 지오멕스소프트

    • 세연테크

    • 경인씨엔에스

    • 스마트시티코리아

    • 성현시스템

    • 렉스젠

    • 파인트리커뮤니케이션

    • 다후아코리아

    • 트루엔

    • 제이더블유씨네트웍스

    • 한국표준보안

    • 씨엠아이텍

    • 지엠케이정보통신

    • 시큐믹

    • 한국씨텍

    • 진명아이앤씨

    • 포엠아이텍

    • 비엔에스테크

    • 모니터

    • 펜타시큐리티

    • 시큐아이

    • 윈스테크넷

    • 이레산업

    • 에프에스네트워크

    • 네이즈

    • 케이제이테크

    • 셀링스시스템

    • 더플러스

    • 세이프네트워크

    • 네티마시스템

    • 아이엔아이

    • 에이앤티코리아

    • 인더스비젼

    • 제네텍

    • 주식회사 에스카

    • 솔디아

    • 일산정밀

    • 크랜베리

    • 새눈

    • 누리콘

    • 윈투스시스템

    • 메트로게이트
      시큐리티 게이트

    • 케비스전자

    • 태양테크

    • 엘림광통신

    • 미래시그널

    • 뷰런테크놀로

    • 아이에스앤로드테크

    • 현대틸스
      팬틸트 / 카메라

    • 넥스트림

    • 스마컴

    • 구네보코리아

    • 명정보기술

    • 엔시드

    • 엔에스티정보통신

    • 와이즈콘

    • 글로넥스

    • 유진시스템즈

    • 엠스톤

    • 세환엠에스(주)

Copyright thebn Co., Ltd. All Rights Reserved.

시큐리티월드

회원가입

Passwordless 설정

PC버전

닫기