韓国政府は、国内で初めて脆弱性の「申告・是正・公開」を常時受け付ける制度の試行に乗り出す。ホワイトハッカーが参加する常時探索の枠組みを導入し、来年からの本格制度化に向けて実効性を検証する。

国家AI戦略委員会、科学技術情報通信部、国家情報院、韓国インターネット振興院（KISA）は5月28日、安全で透明性の高いセキュリティ環境の構築に向け、「脆弱性の常時申告・是正制度」の試行事業を実施すると発表した。

制度には、ホワイトハッカーが認められた範囲で脆弱性を発見して報告できる「脆弱性開示ポリシー（VDP）」と、報告を受けた脆弱性を是正した後に公開する「協調型脆弱性開示ポリシー（CVD）」を盛り込む。

米国や欧州ではすでに関連制度が運用されているが、韓国ではこれまで導入されていなかった。政府は昨年相次いだ大型のセキュリティインシデントを受け、情報保護総合対策と国内の脆弱性申告・是正・公開ロードマップを策定し、制度導入を進めてきた。

今回の試行事業は、来年からの本格導入に先立ち、国民の認知度向上と制度の有効性の事前検証を目的とする。AIを悪用した継続的な攻撃リスクが現実味を増す中、参加するホワイトハッカーにはAIを活用した脆弱性検証も認める方針だ。

試行事業には、民間7社と公的部門8機関の計15組織が参加する。民間ではLG Uplus、Nexon、NC、Toss Payments、Samsung Life、ESTsecurity、INCA Internetが加わる。

公的部門の参加機関・サービスは、国民安全24、健康保険審査評価院、予防接種ヘルパー、KEPCO ON、国家交通情報センター、サイバー検査所、経済統計システム、公的機関採用情報システムの8件。

ホワイトハッカーは、韓国国籍を持つ19歳以上であれば誰でも申請でき、人数制限は設けない。政府は、探索過程での個人情報漏えいやネットワーク運用への支障を防ぐため、機関・企業ごとの許容ポリシーの整備、事前の倫理教育、ポリシー順守誓約、個人情報の取り扱いに関する委託契約の締結などの補完策を講じる。

参加申し込みは29日から6月12日まで、専用ウェブサイトで受け付ける。6月中に事前倫理教育と参加承認手続きを行い、その後11月までの約5カ月間にわたり、脆弱性の探索、申告、是正を進める。最終結果は年末に公表する。

重要な脆弱性を見つけたホワイトハッカーには、公的・民間を通じて計16件の表彰状と、総額2000万ウォン規模の賞金を授与する。

国家AI戦略委員会のペ・ギョンフン副委員長で、国務副総理兼科学技術情報通信部長官は「AI時代のセキュリティは、国家経済と安全保障を支える中核基盤だ。今回の試行事業を呼び水に、安全なK-セキュリティ生態系の構築に積極的に貢献したい」と述べた。

国家情報院は「国家サイバーセキュリティの重要なパートナーであるホワイトハッカーの専門性を通じて、国家機関や公的機関の潜在的な脆弱性を事前に発見し、改善できることを期待している。制度の早期定着に向け、試行事業を着実に進めたい」とした。