'디지털 신뢰 회복' 칼 빼든 정부…실효성 위해 '디테일' 보완해야
지능화된 인공지능(AI)이 일상의 모든 영역을 파고드는 대전환의 시대, 기술의 화려한 도약만큼이나 시급한 과제는 바로 그 이면에 자리한 '디지털 신뢰'를 단단히 구축하는 일입니다. 지디넷코리아는 "AI 기술이 서 말이라도 보안으로 꿰어야 보배"라는 슬로건 아래, 약 두 달간 '2026 디지털 트러스트' 연중 기획 연재 및 캠페인을 진행합니다. 해킹·딥페이크·가짜뉴스·랜섬웨어 등 진화하는 보안 위협 속에서 단순한 기술 편익을 넘어 '안전한 AI 생태계'를 조성하기 위한 공론의 장을 마련하고, 기술과 보안이 공존하는 지속 가능한 디지털 미래의 이정표를 제시하고자 합니다. [편집자주] 무너진 '디지털 트러스트'를 회복하기 위해 정부가 부단히 노력하고 있다. 인공지능(AI)을 활용한 공격자들의 고도화된 공격에서부터 사이버 환경을 안전하게 지키기 위한 대책들을 연달아 내놓고 있다. 이런 가운데 제로트러스트, 국가 망보안 체계(N2SF) 등 보안 신기술 활용 및 가용성을 제고하겠다는 복안이다. 그러나 정부가 제시한 사이버 보안 정책 곳곳에는 여전히 미흡한 부분이 포착된다. 올해의 절반이 지나가고 있는 시점에서 기업들의 침해 사고도 계속되고 있다. 최근 사이버 보안 관련 주무부처가 제시한 정보보호 대책을 큰 틀에서 살펴보면, 화이트해커의 권한 확대를 통해 선제적으로 보안 취약점을 찾아내고 AI발 취약점 폭증에 대비해 국가 주도로 AI 기반 취약점 대응에 나서는 것으로 요약된다. 또한 이같은 조치에도 불구하고 반복적으로 침해사고가 발생하거나 보안상 부주의가 발견될 경우 매출액의 10% 과장금을 통해 엄벌하겠다는 것으로 보인다. '합법적 취약점 탐지' 길 열렸지만…쥐꼬리 포상금·기업 기피는 숙제 올해 초 과학기술정보통신부(이하 과기정통부)가 '제2차 정보보호 종합대책'을 통해 화이트해커를 활용한 취약점 수집 기반을 조성하겠다고 밝힌 가운데, 관련 제도의 구체적인 윤곽이 드러났다. 정부는 올해 안으로 기업과 기관이 일정 조건 하에 자사 정보통신자산의 취약점 발굴을 허용하는 '취약점 공시 및 조정/취약점 제보 제도(CVD/VDP)'를 도입할 예정이다. 화이트해커들이 법적 테두리 안에서 활동할 수 있도록 신고 절차와 면책 조건 등 명확한 기준을 마련하는 것이 핵심이다. 대책 마련에 착수한 이후 지난달 말께 국가인공지능전략위원회(위원장 이재명 대통령)와 과학기술정보통신부, 국가정보원, 한국인터넷진흥원(KISA)은 공동으로 CVD/VDP 시범사업에 착수했다. 화이트해커가 회사 취약점을 합법적으로 찾고 신고할 수 있게끔 기반을 마련했다. 미국, 유럽연합(EU) 등 선진국은 공공기관을 중심으로 이 같은 상시 취약점 탐지 제도가 이미 정착해 있다. 반면 국내에서는 그간 정보통신망법상 허가 없는 내부망 접근 시도가 '침해행위'로 간주돼, 화이트해커들이 선의 목적으로 취약점을 탐지하는 것조차 불가능했다. 정부는 5개월간 시범 운영한 후 내년에 본격 제도를 시행할 예정이다. 이번 시범사업에는 민간기업 7곳과 공공기관 8곳 등 총 15곳이 참여한다. 기존 모의해킹이나 분기별 신고 포상제는 가상 망이나 특정 제품을 대상으로 한 일시적 이벤트 형태였으나, 이번 제도는 실제 운영 망을 대상으로 연중 상시 운영된다는 점이 다르다. 시범사업은 이달부터 11월까지 약 5개월간 취약점 탐색·신고·조치 활동이 이어진다. 이에 대한 결과는 연말께 공개되며, 향후 시범사업을 통해 레퍼런스를 쌓고 완전한 제도화는 내년부터 본격화될 방침이다. 정부는 제도 확산을 위해 공공은 기관 평가 연계, 민간은 보안인증 가점·공공조달 우대, 화이트 해커는 신고 포상제 활성화로 초기 참여 유도한다는 방침이다. 특히 침해사고 발생 시 개인정보보호법에 따라 부과되는 과징금도 CVD/VDP 운영 노력을 감경 요소로 반영키로 했다. 또한 화이트 해커와 제도 참여 기업·기관, 정부간 협력 네트워크 구축 및 홍보 캠페인, 정부표창 수여 등 인식 개선을 추진할 계획이다. 선제적인 취약점 발굴을 위해 화이트해커의 취약점 발굴을 법적으로 허용하기 위한 제도는 마련 중이지만, 일부 한계점이 포착된다. 여전히 일부 공공기관 및 기업에만 한시적으로 운영되고 있으며, 화이트해커에게 유의미한 동기부여를 하지 못하고 있다는 점이다. 취약점을 공개해야 한다는 리스크를 최소화하기 위해 기업·기관·화이트해커 실명은 본인 의사를 고려해 익명 공개 허용했지만, 여전히 기업들은 보안 취약점을 공개해야 한다는 점을 껄끄러워한다. 익명을 요구한 금융권 보안 담당자는 "취약점을 빠르게 조치하기 위해 버그바운티(취약점 포상제)나 현행 CVD/VDP 확산의 필요성에 대해서는 공감하지만, 많은 기업들이 취약점을 공개해야 한다는 것을 껄끄러워 한다"며 "버그바운티 프로그램은 어디까지나 기업이 자발적으로 참여해야 의미가 있는데, 익명이라고 하더라도 '굳이 안하고 말지'하는 조직들이 적지 않을 것"이라고 짚었다. 취약점을 찾아내는 화이트해커에게도 신고 포상제 활성화가 크게 와닿지 않는 모양새다. 정부에 따르면 우수 취약점을 발굴한 화이트해커에게는 총 16점의 상점과 2000만원 규모의 상금이 수여된다. 글로벌 기업의 경우 취약점 제보에 대한 포상금을 '억 단위'로 지급한다. 구글의 경우 2023년 보상금 총액이 약 1200만 달러로 집계됐으며, 메타는 2024년 400만달러 이상을 지급하기도 했다. 오픈AI도 챗GPT 서비스 결함에 최대 2만달러까지 포상금을 지급한다. 또한 찾아낸 취약점을 다크웹 마켓에서 유통되는 금액보다 낮다. 브리치포럼스, 다크포럼스 등 다크웹 불법 해킹 포럼에서는 유명 기업의 취약점이나 최고 관리자 권한을 수만 달러, 1비트코인 이상의 금액에 거래한다. 2024년 브리치포럼스에는 국내 대기업 방화벽 서버의 최상위 관리자 권한을 1만달러에 판매한다는 게시글이 올라오기도 했다. 박기웅 세종대 정보보호학과 교수는 "화이트해커 활동 범위 자체를 늘리는 이번 정책으로 새내기 및 초심자 화이트해커에게는 충분한 동기부여로 작동할 것"이라면서도 "글로벌 기업 대비 버그바운티에 대한 포상금이 낮은 수준이고 확대해야 할 필요성은 있다. 하지만 기업들의 입장에서도 소프트웨어 개발 비용보다 더 많은 금액은 포상금으로 지급할 수는 없다는 어려움이 있다"고 말했다. AI 보안 추진계획 가동…패치 자동화 로드맵 필요 앤트로픽의 AI 모델 미토스(Mythos) 등 AI로 취약점을 빠르게 찾아내는 시대가 현실로 다가오면서 AI 기반 사이버 위협에 대응하기 위한 방안도 정부가 추진하고 있다. 과기정통부는 지난달 말 과학기술관계장관회의를 통해 'AI 기반 사이버 위협에 대응하기 위한 민간 정보보호 추진계획'을 발표했다. 계획안에 따르면 정부는 민간분야에서 AI 보안 위협에 대응할 단기과제와 우리 사회전반의 정보보호 체계를 AI 기반으로 전환하기 위한 중장기 방향성을 제시했다. 단기 과제로는 AI로 취약점을 탐지하면서 취약점 개수가 급증함에 따라 이에 대응하기 위한 체계를 마련하겠다는 것이 첫 번째다. 과기정통부 내에 총괄상황반을 구성하고, 취약점 관리센터 중심 취약점·패치 관리 일원화 및 긴급대응 준비하는 것이 골자다. 또한 피해 파급력이 큰 주요 기업을 대상으로 보안 점검 등을 추진한다. 이 외에도 보안 여건이 부족한 중소기업 대상으로 지원하는 방안과 국제협력을 통한 글로벌 수준의 AI 보안생태계 구축, AI 기반 사이버 위협 선제 대응 체계 확립 등 방안을 제시했다. 중장기적으로는 AI 보안 위협은 AI 기반 보안 역량 강화로 대응해야 한다는 목표 아래 ▲독자적 AI 보안 생태계 조성 ▲AI 시대 정보보호 체질 개선을 위한 기초체력 확보 ▲AI 자율형 침해대응 및 지원체계 확립 ▲주요 정보보호 제도 AI 중심 개편 등 방안을 내놨다. 정부는 취약점을 신속하게 수집해 일원화된 체계로 전파하겠다고 하지만, 한국은 망분리 인프라와 온프레미스 환경이 보편화돼 있기 때문에 국내 특유의 망 환경과 기업별로 제각각인 소프트웨어 특성을 고려해 쏟아지는 취약점에 대한 대량·신속 패치를 적용할 것인지에 대한 논의는 부족해 보인다. 또한 글로벌 보안 기업들이 취약점 발굴뿐 아니라 취약점에 대한 패치까지도 길면 수개월의 시간이 소요되는 만큼 패치 과정을 자동화하는 있는 가운데, 패치 자동화 부분에 대해서는 정부 차원의 로드맵이 부재한 상태다. AI발 위협이 고도화됨에 따라 신속한 패치 전파 체계 구축, 기술지원, 보안 점검 등 조치에 나섰지만 보완해야 할 필요성도 엿보이는 대목이다. 9월 '매출액 10%' 과징금 시대…피해 국민 구제는 뒷전 지난 11일 개인정보보호위원회(개인정보위)는 유출사고가 발생한 쿠팡에 6247억원의 과징금을 부과했다. 역대 최대 과징금 액수다. 쿠팡이 오는 9월 개인정보위로부터 과징금을 받았다면 수조원에 달하는 금액이 부과될 가능성도 있었다. 오는 9월11일부터 개인정보보호법 개정안이 시행되기 때문이다. 개정되는 개인정보보호법은 중대하거나 반복적으로 개인정보 유출 사고를 낸 기업에 전체 매출액의 최대 10%까지 '징벌적 과징금'을 부과할 수 있도록 규정했다. 현행 개인정보보호법은 유출사고와 직결되는 매출액의 최대 3%까지 과징금을 부과할 수 있도록 규정하고 있지만, 상한 액수가 3배 이상 뛰는 셈이다. 반복되는 유출 사고를 막고, 징벌적 과징금을 통해 기업들이 자발적으로 보안에 투자할 수 있도록 유도하는 것이 개정안의 취지다. 그러나 당장 3개월 앞으로 개인정보보호법 개정안이 시행될 예정이지만, 징벌적 과징금에 대한 아쉬운 점도 있다. 부과한 과징금을 어떻게 사용할지에 대한 논의가 부족하기 때문이다. 개인정보보호법에 따르면 개인정보위가 부과하는 과징금은 정부의 여타 행정 과징금과 마찬가지로 전액 국고로 귀속된다. 현행 개인정보보호법에는 과징금의 용도를 별도로 제한하거나 규정한 법조항이 존재하지 않다. 이에 징수된 과징금은 국가의 일반 재원으로 들어가며 개인정보 보호 사업이나 피해자 구제에 우선적으로 쓰이지 않는다. 과징금 상한선을 크게 높이는 취지가 반복적인 개인정보 유출사고를 막고 보안 투자를 활성화하기 위함이라면, 확보한 재원이 피해를 본 국민의 권리 구제나 보안 인프라 투자에 사용돼야 하지만 취지와 용도가 불일치한다. 이에 개인정보 유출로 피해를 입은 국민은 유출사고가 발생한 기업의 자체 보상안 외에는 금전적 보상을 받기 어렵다. 피해보상을 받으려면 피해를 입은 국민이 법적 절차를 밟아야 한다. 이에 정부는 정부는 침해사고로 인한 개인정보 유출 이외의 소비자 피해에 대해서도 분쟁 조정 제도 도입을 올해 논의할 예정이다. 또한 손해배상 판결 효력이 소송 참여자 외에 당사자들에게도 적용되는 미국식 집단소송 제도는 아직 도입 이전이고 논의 중이지만, 개정된 개인정보보호법은 당장 3개월 뒤 시행을 앞두고 있다. 이 외에도 피해자 보호를 위한 피해회복 기금 도입 등도 여전히 논의 단계에 머물러 있다. 최경진 가천대 법학과 교수는 "유출사고로 확보한 과징금 재원은 크게 두 가지로 활용될 필요가 있다. 첫 번째는 피해를 입은 정보주체에 대한 구제다. 꼭 현금으로 돌려줘야 하는 것이 아니라 정보주체의 개인정보 보호를 위한 솔루션 구비, 서비스 구축 등에 필요한 비용으로 쓰일 수 있도록 하는 것"이라며 "두 번째는 개인정보 보호는 하나의 인프라 구축이라는 일념 아래 개인정보 보호 의지는 있지만, 여력이 되지 않는 중소기업에 대한 지원에 사용될 필요가 있다. 꼭 필요한 서비스나 솔루션을 보급하거나 개인정보 보호 바우처 형식으로 지원하는 방법이 필요하다"고 강조했다. 공병철 국제사이버보안인증협회장도 "명확한 재원 활용 방안이 마련되지 않으면 과징금 부과 기준의 상향도 정책적 명분을 얻을 수 없다"며 "정보보호 및 개인정보보호 관리체계 인증(ISMS-P) 지원 등 활용 방안이 필요하다"고 밝혔다.
