사이버 공격이 갈수록 정교해지면서 이른바 '화이트해커'를 제도권 안으로 끌어들여야 한다는 논의가 국회와 정부에서 동시에 힘을 얻고 있다. 사후 처벌 중심의 보안 규제에서 벗어나 민간의 자발적인 취약점 발굴을 제도적으로 보호해야 한다는 문제의식이 확산하는 분위기다.

30일 보안업계에 따르면 최근 사이버 공격은 단순한 시스템 침입을 넘어 공급망과 내부 계정, 인증 체계의 허점을 노리는 방식으로 고도화되고 있다. 인공지능(AI)을 활용한 자동화 공격과 랜섬웨어 조직화도 빠르게 진화하면서, 기업과 기관이 자체 인력만으로 모든 취약점을 사전에 점검하기 어렵다는 인식이 커지고 있다.

하지만 현행 법체계에서는 보안 강화를 목적으로 한 취약점 점검 활동조차 '무단 침입'으로 해석될 여지가 있다는 지적이 꾸준히 제기돼 왔다. 실제 취약점을 발견하고도 법적 책임을 우려해 신고를 주저하거나, 익명 제보나 해외 플랫폼을 활용하는 사례도 적지 않다. 이에 따라 취약점이 제때 공유·보완되지 못하고 방치되는 구조적 한계가 있다는 비판도 나온다.

해외에서는 이미 제도 개선이 이뤄지고 있다. 미국 법무부는 2022년 '선의의 보안 연구' 행위는 컴퓨터 사기 및 남용법(CFAA) 위반으로 기소하지 않겠다는 정책을 공식화했다. 선의의 보안 연구란 보안 결함이나 취약점을 성실하게 테스트·조사·수정하기 위한 목적으로만 시스템에 접근하는 행위를 의미한다. 취약점 악용이 아닌 개선 목적이라는 점이 명확할 경우 형사 책임을 묻지 않겠다는 방향이다.

이 같은 문제의식 속에 국회도 입법에 나섰다. 국회 과학기술정보방송통신위원회 소속 최형두 의원 등은 이달 23일 정보통신망 이용촉진 및 정보보호 등에 관한 법률 개정안을 발의했다. 개정안은 기업이 보안 취약점 신고를 접수·처리하는 기준을 사전에 공개하도록 하고, 해당 기준을 준수한 정보보호 연구자에게는 형사·민사 책임을 묻지 않도록 하는 내용을 담았다.

처벌 위주의 보안 규제에서 벗어나 민간의 자발적인 취약점 발굴 활동을 제도 안으로 끌어들이겠다는 취지다. 다만 실제 해킹에 악용될 가능성이 큰 중대한 취약점이 발견될 경우에는 정부 신고와 이용자 통지를 의무화해, 보안 공백과 혼선을 최소화하도록 했다.

정부 역시 같은 방향의 정책을 공식화했다. 과학기술정보통신부는 28일 열린 제4회 과학기술관계장관회의에서 '제2차 정보보호 종합대책'을 통해 화이트해커 등을 활용한 기업의 자율적인 취약점 공개·개선 제도를 확대하겠다고 밝혔다. 신고 절차와 면책 조건을 정비하고, 취약점 개선에 적극 나선 기업에는 인센티브를 제공하는 방안도 함께 검토한다는 방침이다.

정부는 이번 제도 개선을 통해 사후 대응 중심의 보안 체계에서 벗어나 취약점을 사전에 발견하고 보완하는 구조로 전환하겠다는 목표를 제시하고 있다. 보안을 '숨겨야 할 리스크'가 아니라 공개하고 고쳐야 할 문제로 인식하는 문화가 정착할 수 있을지 주목된다.

kxmxs4104@news1.kr