【드래곤 스포츠】 보증업체놀이터추천홍보 : 프로그램제작판매제작의뢰 : 스포츠분석 : 무료스포츠중계tv : 섹시bj움짤 : 뉴스 : 안구정화

로그인

글쓰기

[IT뉴스]한국형 세이프 하버 도입 초읽기…화이트 해킹 시장 열릴까

온카뱅크관리자

2026-02-21 09:07:33

<div id="layerTranslateNotice" style="display:none;"></div> 정부, 하반기 보안 취약점 제보제 시범 도입…내년 법제화 추진 화이트해커 민형사상 처벌 면제가 핵심…24시간 상시감시 체제 구축 글로벌 기업과의 포상금 격차·제도 악용 가능성 차단 '숙제' 
 <div class="article_view" data-translation-body="true" data-tiara-layer="article_body" data-tiara-action-name="본문이미지확대_클릭"> 
 <section dmcf-sid="yoPjq4pXto">
 <figure class="figure_frm origin_fig" contents-hash="7cd79bc9e44473c921ab512d34384cc92a95c206fc0b8d741b9fac6f962016ca" dmcf-pid="WgQAB8UZtL" dmcf-ptype="figure">
 <img alt="[서울=뉴시스] 기사의 이해를 돕기 위한 이미지. (사진=유토이미지) 2026.02.14. photo@newsis.com *재판매 및 DB 금지" class="thumb_g_article" data-org-src="https://t1.daumcdn.net/news/202602/21/newsis/20260221090140304hacx.jpg" data-org-width="720" dmcf-mid="QntVvZIkZa" dmcf-mtype="image" height="auto" src="https://img4.daumcdn.net/thumb/R658x0.q70/?fname=https://t1.daumcdn.net/news/202602/21/newsis/20260221090140304hacx.jpg" width="658">
 <figcaption class="txt_caption default_figure">
 [서울=뉴시스] 기사의 이해를 돕기 위한 이미지. (사진=유토이미지) 2026.02.14. photo@newsis.com *재판매 및 DB 금지
 </figcaption>
 </figure>
 [서울=뉴시스] 신효령 기자 = '음지에 머물렀던 화이트해커들을 양지로 끌어내겠다.'
 보안업계와 화이트 해커들의 숙원이던 '한국형 세이프 하버(Safe Harbor)' 제도가 도입된다. 세이프 하버는 일정한 기준을 충족할 경우 공공이나 민간 정보기술(IT) 서비스의 보안 취약점을 찾는 활동에 대해 민·형사상 책임을 면제하거나 감경해 주는 제도를 말한다.
 상당수 보안 전문가들은 "그동안 선의의 해킹임에도 불구하고 위법 경계선에서 위협을 느끼던 화이트 해커들을 공식 보안 파트너로 인정받는 초석이 될 것"이라고 반긴다. 하지만 "제도 도입보다도 중요한 건 수요 기관, 기업들의 의지"라며 실효성에 회의적인 시각도 없지 않다.
 <h3 contents-hash="561a5e4b4527057e2513d14dea8873869dc9c7f40c7492ed00098304b3ab18de" dmcf-pid="Xn8a7V3Gtd" dmcf-ptype="h3">'잠재적 범죄자' 꼬리표 떼는 화이트해커</h3>
 <h3 contents-hash="6747b33e8996bd43d48794375d6ac2f71e05370c10f16396bc466ae2eae4e533" dmcf-pid="ZL6Nzf0HXe" dmcf-ptype="h3"> AI 시대, '사후 수습'만으로는 역부족…보상 형평성 과제</h3>
 <figure class="figure_frm origin_fig" contents-hash="dcaafba9808205396f46ba0c146fef3c6ed02d9232b340749ebeab4f079493b1" dmcf-pid="5oPjq4pXGR" dmcf-ptype="figure">
 <img alt="[서울=뉴시스] 기사의 이해를 돕기 위한 이미지. (사진=유토이미지) 2026.02.14. photo@newsis.com *재판매 및 DB 금지" class="thumb_g_article" data-org-src="https://t1.daumcdn.net/news/202602/21/newsis/20260221090140460hnpq.jpg" data-org-width="720" dmcf-mid="xB2n0b5THg" dmcf-mtype="image" height="auto" src="https://img2.daumcdn.net/thumb/R658x0.q70/?fname=https://t1.daumcdn.net/news/202602/21/newsis/20260221090140460hnpq.jpg" width="658">
 <figcaption class="txt_caption default_figure">
 [서울=뉴시스] 기사의 이해를 돕기 위한 이미지. (사진=유토이미지) 2026.02.14. photo@newsis.com *재판매 및 DB 금지
 </figcaption>
 </figure>
 <div contents-hash="5624182ee574ba9c8566c1ffe56aa0cb70025915426d3bb2e881d374a516d61c" dmcf-pid="1gQAB8UZHM" dmcf-ptype="general">
 국가인공지능(AI)전략위원회에 따르면, 화이트 해커나 이용자가 법적 처벌 부담 없이 주요 공공·민간 IT 서비스의 취약점을 제보할 수 있는 '취약점 제보정책(VDP; Vulnerability Disclosure Policy)'을 올 하반기부터 시범 도입하기로 했다. 이를 위해 국가정보원과 과학기술정보통신부를 중심으로 관련 부처들이 현재 세부 정책을 마련 중이다. 화이트 해커가 정당한 기준에서 기관·기업의 보안 취약점을 신고할 경우 민·형사상 책임도 면제해주는 '세이프 하버' 제도가 핵심이다. 이는 미국 정부가 2016년 공공기관 취약점 발굴을 위해 도입한 국방부 '핵 더 펜타곤' 프로젝트와 사이버보안기간시설안보국(CISA)의 '바인딩 운영지침(BOD 20-01)'을 참고한 모델이다. 정부는 제도 도입을 통해 화이트 해커들이 합법적인 환경에서 자신들의 역량을 발휘할 수 있도록 지원하고, 기업들이 잠재적인 사이버 리스크를 대폭 줄임으로써 전반적인 서비스 보안 수준을 높일 수 있다는 구상이다. 기업별 내부 보안팀 점검만으로는 한계가 분명한 상황에서 국내외 화이트해커의 참여를 통해 24시간 상시 점검 체계를 구축할 수 있다는 기대가 깔려있다. 화이트해커는 악의적 목적으로 정보를 탈취하는 '블랙 해커'에 맞서는 보안 전문가다. 취약점을 사전에 찾아내고 피해를 막는 게 역할이지만, 활동에 제약을 받아왔다. 현행 정보통신망법이 권한 없이 시스템에 접근하는 행위를 금지하고 있기 때문이다. 화이트해커가 선의의 목적으로 보안 취약점을 찾으려고 했어도 시스템 접근하는 순간에 이미 '불법 해킹'으로 간주될 수 있다. 익명을 요구한 한 보안 전문가는 "선의로 취약점을 신고했음에도 '왜 몰래 우리 시스템에 접근했느냐'며 수사기관에 신고하는 사례도 적지 않다"고 토로했다. 정부는 다음 달까지 제도 도입을 위한 구체적인 로드맵을 확정하고, 내년부터 법 개정 작업에도 나설 계획이다. 올해는 공공기관과 대규모 개인정보를 다루는 민간 기업의 주요 IT 서비스 등 대상을 정해 '사전 동의'를 받고 VDP 프로그램을 시범 운영하겠다는 계획이다. 과기정통부 관계자는 "VDP 프로그램을 올해 하반기부터 시범사업 형태로 추진할 예정이며, 운영 결과를 토대로 내년도 법 개정 작업에 나설 계획"이라고 밝혔다. 그는 "현재 관련 내용이 법에 명시돼 있지 않은 만큼, 수요 기관의 사전 동의를 기반으로 시범사업을 진행할 예정"이라며 "구체적인 가이드라인과 적용 범위는 국가정보원 등 관계 기관과 협의를 거쳐 마련할 계획"이라고 덧붙였다. 
 세이프 하버 제도가 안정적으로 정착하기 위해서는 법적 보호와 함께 적절한 보상 체계도 마련돼야 한다는 지적이 나온다.
 </div>
 취약점 신고에 대한 보상금은 정부가 아닌 기업이나 기관의 재량에 따라 결정된다. 국내에서도 일부 대기업과 정보기술(IT) 기업을 중심으로 취약점 신고 포상 제도를 운영하고 있지만, 글로벌 기업과의 보상 격차는 여전히 큰 상황이다.
 구글과 마이크로소프트(MS), 애플 등 글로벌 빅테크 기업들은 치명적인 취약점에 대해 최대 200만 달러(약 27억원) 이상의 보상을 제공하고 있다. 반면 국내 기업의 경우 수백만 원에서 많아야 수천만 원 수준에 그치는 사례가 많다.
 보안 전문가들은 이같은 포상금 격차가 실력 있는 화이트해커들의 활동 무대를 해외 버그바운티 플랫폼이나 다크웹 암시장으로 이동시키는 요인 중 하나라고 지적한다.
 무엇보다 대형 보안 사고 발생시 기업이 부담해야 할 과징금이나 브랜드 가치 하락에 따른 손실을 고려하면, 사전 취약점 점검에 드는 비용이 상대적으로 적다는 인식 전환이 필요하다는 의견도 나온다.
 일각에서는 제도 악용 가능성에 대한 우려도 제기된다. 취약점을 발견한 뒤 이를 빌미로 금전을 요구하거나, 협상 과정에서 취약점 정보를 외부에 유출하는 사례가 발생할 수 있다는 것이다. 이에 따라 가이드라인을 위반한 행위에 대해서는 세이프 하버 적용을 배제하고 처벌을 강화하는 방안도 검토되고 있다.
 기업들의 폐쇄적인 문화도 해결 과제다. 여전히 많은 기관·기업은 보안 취약점 발견을 '사고'나 '치부'로 여겨 외부 공개를 꺼리는 경향이 있다. 취약점이 공개될 경우 이미지가 실추되거나 해커 협박 수단으로 악용될 수 있다고 우려한다. 비밀리에 진행하는 '모의 해킹'을 선호하는 기업도 많다.
 이성권 엔키화이트햇 대표는 "화이트해커들을 잠재적인 범죄자가 아닌 국가 사이버 안보의 파트너로 인정했다는 점에서 예전보다 진일보한 국가 보안전략"이라고 평한 뒤 "AI 시대 보안을 강화하라면 특정 시점에 내부 직원들이 점검하는 것이 아니라 내외부 화이트 해커들을 통해 상시 점검하는 체계로 패러다임이 바뀌어야 한다"고 지적했다.
 ☞공감언론 뉴시스 snow@newsis.com 
 </section> 
 </div> 
 Copyright © 뉴시스. 무단전재 및 재배포 금지.

댓글 총 0개

이번주 포인트랭킹

매주 일요일 밤 0시에 랭킹을 초기화합니다.

14,000상품권
23,000상품권
32,000상품권

업체홍보/구인 더보기

지식/노하우 더보기

판매의뢰 더보기

포토 더보기