배경훈 국가인공지능전략위원회 부위원장이 28일 오전 서울 중구 서울스퀘어 국가인공지능전략위원회에서 국내 첫 '보안취약점 상시 신고조치제' 시범사업 추진 관련 세리머니를 하고 있다. 왼쪽부터 류제명 과학기술정보통신부 제2차관, 배경훈 국가인공지능전략위원회 부위원장, 김창섭 국가정보원 제3차장. 과학기술정보통신부 제공과학기술정보통신부는 국가정보원, 국가인공지능전략위원회와 국내 최초로 '보안취약점 상시 신고·조치·공개(CVD·VDP) 제도' 시범사업에 나선다고 28일 밝혔다.
이번 사업은 기존처럼 일회성 모의해킹이나 분기별 신고포상제 방식이 아니라, 실제 운영망을 대상으로 365일·24시간 화이트해커가 취약점을 탐색하고 기업·기관이 이를 조치한 뒤 공개하는 방식이다. 미국과 유럽에서는 이미 운영 중이지만 국내 도입은 이번이 처음이다.
정부는 지난해 잇따른 대형 보안사고와 AI 기반 해킹 위협 확산 등을 계기로 상시·실전형 대응 체계 필요성이 커졌다고 설명했다. 특히 이번 시범사업에서는 AI를 활용한 해킹 방식도 허용하기로 했다.
시범사업에는 민간기업 7곳과 공공기관 8곳 등 총 15개 기관이 참여한다. 민간에서는 LG유플러스, 넥슨, 엔씨소프트, 토스페이먼츠, 삼성생명, 이스트시큐리티, 잉카인터넷 등이 참여한다. 공공 분야에서는 건강보험심사평가원, 한국전력, 한국은행 등 국민 생활 밀접 기관들이 참여한다.
참가 대상은 대한민국 국적을 가진 19세 이상 국민으로, 별도 인원 제한은 없다. 다만 실제 운영망을 대상으로 하는 만큼 개인정보 유출이나 서비스 장애를 막기 위해 사전 윤리교육과 서약 절차 등을 거치게 된다.
참가 접수는 오는 29일부터 다음 달 12일까지 전용 홈페이지에서 진행된다. 이후 교육과 승인 절차를 거쳐 약 5개월 동안 취약점 탐색과 신고, 조치가 이뤄질 예정이다. 정부는 연말 우수 화이트해커에게 총 16점의 상장과 2천만 원 규모 상금을 지급할 계획이다.
배경훈 부총리 겸 과기부 장관은 "AI 시대 보안은 국가 경제와 안보를 지탱하는 핵심 기반"이라며 "미토스 사태가 촉발한 AI 기반 상시 위협에 대응하기 위해 실전적이고 선제적인 보안체계 도입이 불가피하다"고 밝혔다. 이어 "이번 시범사업을 마중물 삼아 투명하고 안전한 K-보안 생태계 조성에 적극 기여하겠다"고 말했다.