과학기술정보통신부와 한국인터넷진흥원(KISA)이 운영하는 보안취약점 신고포상제의 강화 필요성이 제기되고 있다. 보안 취약점을 제보해도 개발사가 취약점 공개를 꺼리는 등 보안 패치에 한계가 있기 때문이다.
KISA가 국회에 제출한 보안취약점 신고포상제 현황에 따르면, 올해 9월까지 신고받은 취약점 2356건 가운데 조치한 건수는 691건이다. KISA는 중복됐거나 이미 조치된 취약점 또는 취약점이 아닌 경우 등을 제외하고 유효 취약점을 집계한 결과라고 설명했다.
문제는 보안 패치가 개발된 취약점 중 정보보안취약점표준코드(CVE) 등록 건수가 2건(0.3%)에 불과하다는 점이다. 소프트웨어 개발사가 공개를 동의한 취약점에 한해 CVE에 등록할 수 있어서다.
CVE는 세계적으로 사용되는 보안 취약점 식별·관리 표준 시스템을 말한다. 쉽게 말해, SW나 하드웨어에서 발견된 취약점에 고유한 번호를 부여해, 누구나 동일한 기준으로 취약점을 추적하고 공유할 수 있게 하는 제도다.
더욱이 정부가 CVE 발급 건수와 발급 비율은 갈수록 감소하고 있다. 2020년 71건(13.1%)에서 2021년 37건(5.5%), 2022년 12건(1.8%), 2023년 10건(1.8%)으로 쪼그라들더니 지난해 7건(1.1%)으로 한 자릿수까지 떨어졌다.
해외에선 취약점 공개에 적극적이다. 미국 사이버보안·인프라보호청(CISA)은 2021년 취약점 공개 정책(VDP)을 통해 연방 기관에 납품하는 SW 제조사의 취약점 공개를 의무화하는 한편 일반 개발사도 취약점 공개를 권장하고 있다. 특히 취약점을 보고하는 연구자 등 외부 전문가를 법적으로 보호한다.
보안 전문가들은 개발사 동의 없이 CVE 발급이 불가한 상황이 보안 환경을 저해한다고 지적한다. 보안 연구자는 CVE 취약점 발굴 의지가 떨어지고 개발사 역시 패치 개발 압박을 덜 받게 된다. 해커만 취약점을 가지고 지속적으로 공격할 수 있는 여건인 셈이다. CVE 발급 권한을 연구자에게 부여하거나 VDP 정책을 운영하는 기업·기관에 인센티브를 주는 등 대책 마련이 필요한 이유다.
김용대 한국과학기술원(KAIST) 전기 및 전자공학부 교수는 “CISA는 '보안 제품을 개발하는 게아니라 더 안전한 제품을 개발해야 한다'는 모토를 지향한다”며 “한국도 공공기관에 납품하는 SW개발사를 대상으로 취약점 공개를 의무화하는 등 제도 개선이 필요하다”고 말했다.
조재학 기자 2jh@etnews.com
![[단독] AI 데이터센터 느는데… 소방 안전은 ‘위험 수준’](https://img.segye.com/content/image/2025/11/18/20251118516528.jpg)
