해커원, 인공지능 보안 강화를 위한 세이프하버 발표
- 보안 연구자들, 인공지능을 마음껏 연구할 수 있도록
- 법적 분쟁에 휘말리지 않게 하자는 공개적 약속
- 들어오는 건 마음대로, 한 번 들어왔으면 엄격히 준수해야
인공지능 시스템을 강화하려는 보안 연구자들을 지원하기 위한 새 프레임워크가 발표됐다. 세계적인 버그바운티 플랫폼이자 공격적 보안 솔루션 기업인 해커원(HackerOne)이 출범시킨 것으로, 이름은 ‘선의의 인공지능 연구를 위한 세이프하버(Good Faith AI Research Safe Harbor)’이다. 이름 그대로 ‘선의로 진행한 보안 점검에 대해서는 보안 전문가들을 해커 취급하지 말자’는 내용을 담고 있다.
프레임워크? 법적 효력이 있나? 산업 표준인가?
보안 전문가들이 안전한 테두리 내에서 인공지능을 마음껏 공략하게 함으로써 보다 나은 보호 방법을 찾아가자는 취지에서 마련된 ‘선의의 인공지능 연구를 위한 세이프하버’ 프레임워크는, 정체가 무엇일까? 법적 효력을 가지고 있을까? 아니면 산업 내에서 널리 받아들여질 예정인 표준 정도로 이해하면 되는 걸까? 아니면 선언문에 불과할까?
‘프레임워크’라는 것에는 여러 가지 뜻이 있을 수 있지만 이번에 해커원이 발표한 것은 ‘자발적으로 참여하려는 자들끼리의 공개적 약속’이라고 할 수 있다. 그 자체로 법적 효력을 가지고 있지도 않고, 산업 내 표준에 준하는 지위를 가지고 있는 것도 아니다. 강제성은 전혀 없다. 그렇다고 선언문처럼 큰 틀에서의 개념만 잡아놓고 실질적이거나 구체적인 내용은 거의 없는, 세부 가이드라인이나 지침서가 따로 필요한 그런 문건도 아니다.
“보안 전문가들이 향후 인공지능을 연구할 때 혹은 보안 전문가들의 인공지능 연구를 허용해줄 때 사용할 수 있는 ‘관행’을 미리 만들어둔 것이라고 볼 수 있습니다. 무시하면 그만인 이 프레임워크를 채택한다는 건 ‘이 프레임워크가 설정한 연구 범위를 인정한다’고 공개적으로 약속한 것과 같고, 그 ‘공개적 약속’ 자체는 혹여 있을 수 있는 법정 싸움에서 중요한 참고 자료가 될 수 있습니다. 즉 프레임워크 자체로 법적 강제력이 없을 뿐이지, 법적 판결에 영향을 미치기는 한다는 의미입니다.” 해커원의 설명이다. 모두가 참여해야 되는 건 아니지만, 한 번 참여하기로 결정했으면 법을 준수하는 것만큼 엄격하게 따라야 한다는 것이다.
어떤 내용 담고 있는가?
들어올 땐 마음대로지만 나갈 땐 그렇지 않은 게 ‘선의의 인공지능 연구를 위한 세이프하버’ 프레임워크라는 것을 알았다면(물론 실제로 탈퇴해도 보복 당하거나 그런 건 아니다), 그 다음 중요한 건 ‘도대체 무슨 내용인데?’이다.
이 프레임워크의 핵심을 한 줄로 요약하면 ‘선의를 가지고 연구를 진행한 보안 전문가에게 법적 책임을 지게 하거나 위협을 가하지 않겠다고 약속한다’라고 할 수 있다. 물론 보안 전문가라고 해서 제한 없이 모든 방법을 총동원할 수는 없다. 상호 승인된 범위가 먼저 설정되어야 하고, 그 범위 내에서라면 고소나 고발 당할 염려 없이 마음껏 연구할 수 있다는 게 이번 프레임워크의 주요 내용이다.
“가장 중요한 건 보안 테스트를 진행하는 보안 전문가가 ‘선의’로 그것을 해야 한다는 겁니다. 선의가 바탕에 깔려 있다면, 인공지능 서비스 이용 약관을 일시적으로 무시해도 되고, 리버스 엔지니어링 등 해킹과 비슷한 연구 행위를 해도 괜찮다는 보장을 해주자는 것이죠. 시험 대상이 된 인공지능 서비스 제공 기업만이 아니라, 관련된 제3자가 문제를 제기하더라도 보안 전문가를 방어하는 데 협조하자는 내용까지도 담고 있습니다.”
한편 보안 연구자는 보안과 안전을 개선한다는 목적으로만 연구를 진행해야 할 책임을 가지고 있고, 시스템을 파괴하거나 서비스를 중단시키면서까지 테스트를 진행할 수는 없다. 당연하지만 테스트 중 확보하게 된 데이터를 임의로 공개할 수도 없으며, 개인정보 등 민감 정보는 철저히 보호해야 한다. 취약점이 발견될 경우 회사와 상호 협의 하여 공개 절차를 마련해야 한다.
왜 일개 회사인 해커원이 앞장서는가?
‘앞으로 보안 연구원들이 인공지능을 마음껏 뜯고 씹고 맛보게 해 주고, 그럼으로써 보안을 강화합시다’라는 이 커다란 약속을 왜 해커원이라는 일개 회사에서 앞장서서 하려는 걸까? 그렇게 했을 때 실질적인 영향력이 있을까? 이 질문에 대한 답은 해커원이 보안 업계에 가지고 있는 영향력을 생각하면 알 수 있다.
해커원은 전 세계 버그바운티 및 보안 연구의 중요 인프라 중 하나이다. 구글, MS, 메타와 같은 대형 기업만이 아니라 미국 국방부 같은 거대 조직들이 해커원과 중요한 파트너십을 체결하고 있으며, 이미 해외 보안 연구원들 사이에서 ‘해커원에서 내세운 기준’은 곧 ‘보안 연구 행위의 기준’으로 인식되고 있을 정도다. 일개 회사라는 사실은 맞지만, 그 영향력이 지대하다고 해도 과언이 아니다.
게다가 이미 해커원은 비슷한 프레임워크를 만들어 발표함으로써 영향력을 드러내기도 했었다. 2022년 발표한 ‘황금표준 세이프하버(Gold Standard Safe Harbor)’가 바로 그것이다. 보안 연구자들이 소프트웨어에서 취약점을 자유롭게 찾아낼 수 있도록 해주자는 의도가 담긴 것으로, 해커원은 수많은 실제 분쟁 사례와 기업 법무팀의 피드백, 현장에서 활동하는 보안 연구자들의 요구를 전부 반영해 이 프레임워크를 만들었다고 한다. 내용은 이번에 발표된 ‘선의의 인공지능 연구를 위한 세이프하버’와 비슷하다. 연구 대상이 ‘소프트웨어’에서 ‘인공지능’으로 바뀌었을 뿐이다.
2022년 이후부터 수천 개 조직들이 이 황금표준 세이프하버 프레임워크를 채택하여 현장에서 사용하고 있다. 여기에는 미국 연방 기관들은 물론 대형 테크 기업들이 포함돼 있다. 소프트웨어를 강화하고 싶은 보안 연구자들은 이 프레임워크의 존재에 긍정적인 반응을 보이는 편이다. 일개 회사가 만든 프레임워크에 불과하지만 사실상 업계 표준으로 받아들여져 있다고 해도 무방하다. 그 영향력을 이번에는 인공지능 쪽으로도 확대하고자 하는 게 이번 프레임워크 출범의 의도라고도 할 수 있다.
“이번 프레임워크가 인공지능 시대의 테스트 표준 정립에까지 도달했으면 합니다. 보안 강화를 위한 인공지능 연구는 지속되어야 하며, 안전하게 보장받아야 합니다.” 해커원의 설명이다.🆃🆃🅔
by 문가용 기자(anotherphase@thetechedge.ai)
Related Materials
- HackerOne launches Good Faith AI Research Safe Harbor to protect responsible AI testing - SiliconANGLE, 2026년
- HackerOne extends Safe Harbor protections to AI testing - Help Net Security, 2026년
- A Safe Harbor for AI Evaluation and Red Teaming - arXiv, 2024년
- Safe Harbor Overview & FAQ - HackerOne Docs, 2025년
문가용 기자
문가용 기자
![[모집] 더테크엣지의 ‘테크 영어 루틴’인 톡섹을 공개합니다](https://images.unsplash.com/photo-1629141648935-fd2986d92c6f?crop=entropy&cs=tinysrgb&fit=max&fm=jpg&ixid=M3wxMTc3M3wwfDF8c2VhcmNofDExfHxzbWFsbCUyMHN0dWR5JTIwZ3JvdXB8ZW58MHx8fHwxNzY5NzU3NzgzfDA&ixlib=rb-4.1.0&q=80&w=600)