정부가 국가 전반의 사이버 보안 강화를 위해 화이트햇 해커를 적극 활용하는 방안을 검토한다. 해커가 취약점을 고리로 공격을 벌이는 만큼, 화이트햇 해커를 전면에 내세워 기존 '사후 대응'에서 선제적으로 취약점을 발굴·개선하는 '사전 예방'으로 중심축을 옮기겠다는 취지다.
5일 정보보호업계 등에 따르면, 국가인공지능전략위원회 보안 태스크포스(TF)는 화이트햇 해커를 활용한 선제적·상시 보안점검체계를 구체화하는 방안을 논의하고 있다.
앞서 배경훈 부총리 겸 과학기술정보통신부 장관도 사이버 보안 강화를 위해 국가 차원 화이트햇 해커 양성 등을 검토하고 있다며 실제 해킹 방식의 고강도 취약점 점검 중요성을 강조한 바 있다.
화이트햇 해커는 금전적 이득 등을 목적으로 해킹을 벌이는 블랙햇 해커와 달리 기업 정보시스템 취약점을 먼저 찾아 방어하도록 돕는 보안 전문가를 말한다.
그간 국내에선 '정보통신망 이용촉진 및 정보보호 등에 관한 법률'(정보통신망법)에 가로막혀 화이트햇 해커 활동이 제한적이었다. 정보통신망법엔 '누구든지 정당한 접근 권한 없이 또는 허용된 접근 권한을 넘어 정보통신망에 침입해서는 안 된다'고 명시돼 있다. 이 때문에 블랙 해커는 불법을 자행하는 데 반해 국내 화이트햇 해커는 손발이 묶인 상황이다.
반면 미국 법무부의 판단이 눈길을 끈다. 미 법무부는 2022년 5월 취약점 탐지·분석 등 선의의 보안 연구 활동은 원칙적으로 기소하지 않는다는 지침을 내렸다. 선의의 보안 연구를 범죄로 보기 어렵다는 해석을 명확히 한 셈이다. 화이트햇 해커에게 날개를 달아주기 위해 정보통신망법 개정을 비롯해 제도적 뒷받침이 필요하다는 목소리가 커지는 이유다.
보안 TF는 정보통신망법 개정 이전에 화이트햇 해커 활동이 중요하다는 인식을 확대하기 위해 올해 시범사업을 운영할 계획이다.
구체적으로 한국인터넷진흥원(KISA) 등과 같은 제3의 기관을 플랫폼으로 화이트햇 해커의 신원을 보증하는 한편 보안 취약점 리스트를 관리한다. 또 플랫폼엔 취약점 점검 동의를 전제로 정부 기관과 기업이 참여하도록 할 예정이다. 취약점 발견 시 의무적으로 패치를 개발한 뒤 공개하는 데, 화이트햇 해커와 기업이 원할 경우 익명으로 할 수 있도록 할 방침이다. 또 선제적으로 취약점 공개 정책(VDP) 운영 시 과징금 감경하는 인센티브 도입도 검토한다.
이미 미국·유럽연합(EU) 등 주요국은 화이트햇 해커가 사이버 보안 최전선에서 활동할 수 있도록 VDP를 시행하고 있다.
미국 사이버보안·인프라보호청(CISA)은 2021년 연방 기관에 납품하는 소프트웨어 제조사를 대상으로 VDP 공개를 의무화했으며, 민간으로 확산하고 있다. EU 역시 네트워크·정보보안 지침(NIS2)에서 회윈국 국가사이버안보전략에 취약점 협력 대응 체계(CVD)를 포함하도록 했으며, 사이버복원력법(CRA)을 통해 디지털제품 제조업체에 CVD 도입을 의무화했다.
이원태 보안TF장은 “미국·EU 등은 일련의 사이버 보안 사고를 겪은 뒤 화이트햇 해커의 집단 지성을 활용해 취약점을 먼저 찾아 제거하는 노력이 더 중요하다는 사실을 자각했다”며 “화이트햇 해커 역량을 적극 활용하면 취약점에 대한 대응 수준을 전반적으로 높일 수 있다”고 말했다.
조재학 기자 2jh@etnews.com
![[사설] 연초 해킹 조짐, 불씨 번지지 않게해야](https://img.etnews.com/news/article/2026/01/07/news-a.v1.20260107.f95e6d54fadd4766bac9a1f76935caef_T1.jpg)
![[ET톡]바이오 컨트롤타워 세우기](https://img.etnews.com/news/article/2026/01/07/news-p.v1.20260107.e11109442cdf405b8067bbd1e34ca1ff_P1.png)
