[뉴스토마토 박재연 기자] 인공지능(AI) 기술 확산으로 해킹 위협이 고도화되는 가운데, 정부와 국회가 화이트해커(보안 전문가) 지원 강화 필요성에 뜻을 모았습니다. 최근 잇따른 대규모 해킹 사고 속에 한국인터넷진흥원(KISA)이 운영하는 '버그바운티(취약점 신고 포상)' 제도에도 관심이 쏠리면서, 공공과 민간의 보안 역할 분담을 둘러싼 논의가 다시 주목받고 있습니다. 

 

최민희 과학기술정보방송통신위원회 위원장은 최근 종합감사에서 "현재 수준의 관리만으로도 일정 부분 해킹 방어가 가능하지만 AI와 결합한 공격 기술이 고도화될 경우 대응이 어려워질 수 있다"며 "AI 기반 방어 기술의 진전 상황과 화이트해커 지원책을 함께 점검해야 한다"고 주문했습니다. 

 

이에 대해 배경훈 부총리 겸 과학기술정보통신부 장관은 "AI 발전 속도에 비해 방어 기술 진전은 상대적으로 더딘 편"이라며 "민간기업에서도 화이트해커의 역량이 2년 정도 지나면 떨어진다는 의견이 있어 재교육과 인센티브 방안을 검토 중"이라고 답했는데요. 

 

최 위원장은 또 "화이트해커 지원 인센티브가 과거보다 낮아졌다는 지적이 있다"며 "KISA 등 관계기관과 협의해 인력 규모와 지원 수준을 재점검하고, 보안 인재 풀이 지속적으로 가동될 수 있도록 해야 한다"고 강조했습니다. 배 부총리도 이에 공감하며 "필요한 제도적 보완을 검토하겠다"며 "민간과 정부가 함께 상시 보안 체계를 강화해 나가겠다"고 덧붙였는데요. 

 

최근 국내 기업을 대상으로 한 대규모 해킹 사고가 이어지면서 정부와 국회가 화이트해커 지원 강화의 필요성에 공감대를 형성한 셈입니다. 이에 따라 화이트해커 생태계 조성의 핵심 제도로 꼽히는 KISA의 '버그바운티' 운영에도 관심이 쏠리고 있습니다. 이는 보안 취약점을 신고한 화이트해커에게 포상금을 지급하는 제도로 민간이 공동 운영사로 참여해 민·관 협력 모델을 넓히는 중인데요. 

 

다만 한민수 민주당 의원은 이달 KISA로부터 제출받은 자료를 토대로 "버그바운티 포상금의 약 90%가 KISA 예산으로 지급되고 있다"며 "결국 민간기업이 아닌 공공 예산으로 민간 취약점을 보완하는 구조가 됐다"고 밝힌 바 있는데요. 미국과 유럽연합(EU) 등 해외에서는 이미 버그바운티 제도가 활성화돼 있는 상황에서 국내 기업들은 여전히 자발적 보안 투자 의지가 부족한 실정이라는 지적입니다. 

 

KISA는 '기업 비용을 대신 부담'하는 식의 뉘앙스는 사실과 다르다는 입장입니다. KISA 관계자는 최근 통화에서 "버그바운티는 국내 소프트웨어 전반을 대상으로 취약점을 신고받아 조치하고 신고자에게 포상금을 지급하는 제도로, 참여 기업은 자사 취약점에 대한 보상금을 100% 자체 예산으로 부담한다"며 "기업 지원 프로그램이 아닌 취약점 신고·조치 체계 확산을 위한 제도"라고 설명했는데요. 

 

이에 한 의원실 측은 "공동운영사로 등록된 기업의 자사 취약점 신고 포상금은 해당 기업이 부담하더라도 운영사로 등록되지 않은 민간기업들의 신고 포상금은 여전히 KISA 예산으로 지급되고 있다"며 "앞선 발표를 통해 민간 참여 확대를 통한 자율 보안 강화 필요성을 강조한 것"이라고 짚었습니다. 

 

한편 국회나 언론에서 보는 총액만으로는 실제 상황을 온전히 설명하기 어렵다는 의견도 나옵니다. 한 보안업계 관계자는 "KISA가 예산을 투입하는 경우는 대국민용 공공 소프트웨어 등 사회적 파급력이 큰 영역에 집중되기 때문에 단일 항목으로는 금액이 크게 나올 수 있다"며 "반대로 특정 기업의 제품·서비스에 대한 취약점 점검은 기업이 상당한 규모의 포상금을 지급하는 사례도 적지 않다"고 설명했습니다. 정부 예산이 많이 투입된 항목의 경우 '공익적 성격'이 강해 상대적으로 예산 규모가 커 보일 수 있다는 주장입니다. 

 

박재연 기자 damgomi@etomato.com