화이트해커(White Hacker)가 기업·기관의 보안 취약점을 합법적으로 발견해 신고하는 ‘취약점 신고·조치·공개제도’가 올해 정부 시범사업으로 도입된다. 화이트해커란 악의적 해킹을 막기 위해 해킹 기술을 선한 목적에 사용하는 보안 전문가를 의미한다.

국가인공지능전략위원회는 최근 국무회의에 인공지능(AI)액션플랜 세부 내용을 보고한 것으로 알려졌다. 이에 따르면 정부는 대규모 개인정보 유출, AI 기반 사이버 위협 등에 대응해 선제적·상시로 보안 취약점을 발굴·제거하는 제도를 올해 시범적으로 시행하기로 했다.

현행 정보통신망 이용촉진 및 정보보호 등에 관한 법률(정보통신망법)이 정보통신망 침입을 원천 금지하며 해킹 범죄를 방지하기 위해 선의의 목적으로 취약점을 탐색하는 화이트해커 활동까지 불법으로 규정하면서 제도 보완 필요성이 지적돼 왔다.

사이버 보안업계에서는 지난해 대규모 해킹 사고가 잇따라 터지면서 화이트해커가 기업 계약 등 보호막 없이도 활발히 활동할 수 있는 기반이 필요하다고 제안해 왔다. 지난해에는 쿠팡 3370만명 개인정보 유출, SK텔레콤 유심(USIM) 서버 해킹으로 2696만명 피해, 롯데카드 297만명 카드정보 유출, 넷마블 611만명 및 휴면계정 3100만건 개인정보 유출, 업비트 445억원어치 암호화폐 탈취 등 통신, 플랫폼, 금융, 게임 등 거의 모든 산업군에서 대형 사고가 발생했다, 다수의 언론에서는 ‘2025년은 해킹의 한 해’라는 표현을 사용하기까지 했다.

미국 국방부와 사이버보안국(CISA) 등은 취약점 제보 프로그램(VDP)을 운영하며 화이트해커가 정부 시스템의 보안 약점을 찾아 제보할 때 법적 처벌 걱정 없이 활동할 수 있도록 보장하고 있다.

미국은 보안 취약점을 신고하는 사람에게 포상금을 지급하는 ‘버그바운티 제도(bug bounty program)’도 활용된다. 구글, 애플 등 글로벌 빅테크나 공공 분야에서 버그바운티로 화이트해커의 참여를 촉진하고 적극적인 보상에 나서면서 사이버 공격 방어 생태계를 키우고 있다.

국가AI전략위는 240만명이 가입한 화이트해커 플랫폼 ‘해커원’ 등과 논의를 거쳐 민간 화이트해커를 활용한 선제적·상시 보안 점검 체계 도입 방안을 구체화했다. 이에 따라 미국·유럽연합(EU)의 취약점 신고·조치·공개 제도를 참고해 도입하는 로드맵을 다음 달까지 마련할 계획이다. 이후 올해 시범사업을 진행한 뒤 내년에는 법·제도 개선을 추진할 계획이다.