화이트해커 합법화 길이 열릴 전망이다. 기업 및 기관의 보안 취약점을 발견하고 신고하는 '취약점 신고·조치·공개제도'가 올해 시범사업으로 도입될 예정이다.
국가인공지능전략위원회가 최근 국무회의에 제출한 인공지능(AI) 액션플랜에 따르면, 정부는 대규모 개인정보 유출 및 AI 기반 사이버 위협에 대비하기 위해 선제적으로 보안 취약점을 발견하고 제거하는 제도를 올해 도입할 계획이다.
정보통신망법은 선의의 목적으로 취약점을 발견하는 화이트해커 활동을 불법으로 규정하고 정보통신망 침입을 원천 금지하고 있다. 이에 보안 취약점을 발견하고 신고하는 것을 돕기 위한 제도가 필요하다는 지적이 제기되었다.
화이트해커들이 기업들의 보호막 없이 활발히 활동할 수 있는 기반을 마련해야 한다는 제안이 나왔는데, 국가AI전략위는 화이트해커 플랫폼 '해커원' 등을 통해 민간 화이트해커를 활용한 선제적 보안 점검 체계 도입 방안을 구체화했다.
미국과 유럽연합(EU)의 취약점 신고·조치·공개 제도를 참고하여 도입하는 로드맵을 다음 달까지 마련하고 올해 시범 사업을 진행한 뒤 내년에는 법적 개선을 추진할 계획이다. 현재 미국 국방부와 사이버보안국(CISA)은 취약점 제보 프로그램(VDP)을 운영하여 화이트해커가 정부 시스템의 보안 취약점을 발견하고 제보할 때 법적인 걱정 없이 활동할 수 있도록 보장하고 있다.