참여하는 길

소프트웨어나 인터넷 연결기기의 보안 약점을 미리 찾아 고치는 활동을 제도로 만드는 법이에요. 회사가 약점 신고를 받는 방침을 만들어 공개하고, 그 방침을 지킨 보안 연구자는 처벌에서 면제될 근거가 생겨요. 대신 회사는 신고 채널을 운영하고 중대한 약점은 정부에 신고하고 이용자에게 알리는 의무를 지게 돼요.

제안이유 및 주요내용 최근 디지털 전환의 가속화로 소프트웨어 및 정보통신망연결기기 등의 보안취약점을 악용한 사이버 침해사고가 급증하고 있음. 이에 따라 전세계적으로 민간 보안 전문가(화이트해커 등)와 협력하여 사전에 취약점을 발굴하고 보완하는 ‘보안취약점 협력대응제도(CVD)’가 확산되는 추세임. 그러나 현행법은 정당한 권한 없는 정보통신망 침입을 금지하고 있어, 선의의 목적으로 취약점을 연구ㆍ발굴하는 보안전문가들의 활동이 위축될 우려가 있고, 기업들 또한 별도의 신고 채널이나 처리 절차를 갖추지 않아 발견된 취약점이 방치되거나 음성적으로 거래되는 등의 문제가 제기되어 왔음. 이에 정보통신서비스 제공자 등으로 하여금 정보보호 취약점 처리방침을 수립ㆍ공개할 수 있도록 하여 취약점 발굴 및 신고의 투명성을 확보하고, 해당 방침을 준수하여 활동하는 정보보호연구자에 대한 면책 근거를 마련하는 한편, 중대한 취약점에 대해서는 정부 신고 및 이용자 통지를 의무화함으로써 민간의 자발적인 보안 활동을 양성화하고 사이버 침해사고를 선제적으로 예방하려는 것임(안 제47조의8부터 제47조의10까지 신설).

발의자가 직접 쓴 글이에요. 발의자의 관점·표현이지 객관적 사실은 아니에요. 위 ‘쉽게 말하면’은 이 글을 푼 거예요. 대조해 보세요.

• 정보통신서비스 제공자 등이 정보보호 취약점 처리방침을 세우고 공개할 수 있게 돼요.
• 공개한 방침을 지키며 활동한 정보보호연구자에게 면책 근거가 생겨요.
• 중대한 취약점은 정부에 신고하고 이용자에게 알리는 의무가 생겨요.
• 제47조의8부터 제47조의10까지 새로 만들어요.

누구에게 · 정보통신서비스 제공자 · 보안 연구자(화이트해커 등) · 정보통신망 이용자 · 정부(신고 접수 기관)

곁들이는 사실

종류

정보보호처벌조항면책 근거신고 의무

규모

적용 대상은 정보통신서비스 제공자 등이고, 정부 신고와 이용자 통지는 중대한 취약점에 한해 의무로 정해요.

발의시점

2026년 1월 23일

검토보고서

심사 전 단계라 검토보고서가 아직 없어요. 작성되면 쟁점을 그대로 보여줄게요.

처리·표결

아직 표결 전이에요.