보안 연구는 필연적으로 불법적 요소를 내포하고 있을 수밖에 없다. 이 때문에 보안 연구를 했을 뿐인데 법정에 서서 재판을 받게 되는 보안 전문가들이 많다. 독일 정부가 이를 더 두고 보지 않으려 한다. 보안 전문가들을 보호하기 위한 법안이 제출되었다. 어떤 내용이 담겼을까?
[보안뉴스 문가용 기자] 최근 독일 의회에서는 컴퓨터 범죄법을 현대화 하려는 움직임이 생겨나고 있다. 이미 초안이 제출된 상황이고, 이것을 바탕으로 보안 전문가들의 취약점 연구가 법적으로 보다 안전해지도록 하려는 것이 독일 정부의 목표라고 한다. 타사 제품이나 소프트웨어에서 취약점을 발견한 보안 전문가가 도리어 고소 역풍을 맞는 현상을 의미 있게 줄여보고자 하는 게 이번 법안의 핵심이라고 할 수 있다. 보안 전문가들 사이에서 오랜 시간 요구되어 왔던 제도이기 때문에 초안의 내용을 살짝 엿보고자 한다.
[이미지 = gettyimagesbank]
대략적인 내용
법안은 서두에 “사회적 이익을 위해 수행되어 바람직한 행위를 법으로 위축시키지 않는 게 중요하다”고 명시하고 있다. 현재 그대로의 컴퓨터 범죄법의 경우 위축의 우려가 농후하다고 지적하기도 했다. “IT 보안은 정보 사회의 아킬레스건으로, 사이버 공격을 방어하기 위해 보안 취약점을 해결하는 것이 매우 중요합니다. 따라서 일부 IT 제품과 환경에 존재하는 취약점을 살펴볼 필요가 있습니다. IT 시스템의 보안 취약점을 발견하는 것은 IT 보안 연구의 전형적인 활동에 속합니다. 이러한 연구를 위해서는 주로 실제로 사용 중인 타인의 정보 시스템과 데이터에 접근하는 것이 필요합니다. 이러한 상황은 형사 처벌 위험을 내포하고 있어, 금지된 행위뿐만 아니라 사회적으로 바람직한 행위조차도 위축시킬 수 있는 역효과를 초래할 수 있습니다.”
현재의 보안 관련 법이 왜 보안 연구 행위를 위축시키게 되는가? 이에 대해 법안은 다음과 같이 설명한다. “현재 법은 접근 권한이 없는 데이터에 대한 비인가 접근을 범죄로 규정하고 있으며, 접근 가능성만으로도 범죄 구성 요건을 충족할 수 있습니다. 따라서 단순한 시스템 접근만으로도 해당 범죄에 해당될 수 있습니다. 형벌의 범위가 컴퓨터 범죄의 위험성 및 높은 피해 잠재력을 일부 반영하지 못하고 있다는 것도 현행법의 문제입니다. 사회 인프라에 대한 해킹 공격에서 특히 현행법의 허술함이 드러납니다.”
여기까지만 보면 이번 법안의 목적이 뚜렷하게 나온다. 초안에도 명시되어 있다. “이 법안의 목표는 보호 받아야 할 IT 보안 연구 행위와, 형사 처벌이 요구되는 행위를 명확히 구분하는 것입니다. 이 법안은 기존의 법적 불확실성을 해소하고, 중대한 범행 유형에 대한 형벌의 범위를 확대하고자 합니다.” 그렇게 하기 위해서 다음과 같은 개정이 필요하다고 발의자들은 주장했다.
문제의 핵심 202a 형법
현재 컴퓨터 범죄 행위에 적용되는 형법인 202a 형법은 1998년 11월 13일에 공표되었으며, 2024년 7월 30일 마지막으로 개정되었다고 한다. 그리고 이번 법안을 통해 몇 가지 항목의 추가가 제안됐다. 먼저는 범죄 행위로 인정되지 않는 경우들이 좀 더 상세해야 한다는 내용이다. “정보 기술 시스템의 약점 또는 다른 보안 위험을 확인하기 위한 의도로 이루어진 행위로, 정보 기술 시스템의 책임자, 각 시스템을 운영하는 서비스 제공자, 관련 IT 응용 프로그램 제조자, 또는 연방 정보 보안청에 통보하기 위한 경우에는 범죄에 해당하지 않습니다. 보안 취약점을 확인하기 위해 필요한 행위로 판단되면 범죄에 해당하지 않습니다.”
[이미지 = gettyimagesbank]
하지만 반대로 ‘중대한 처벌이 요구되는 경우’에도 추가 항목이 제안됐다. “피고인이 상당한 규모의 재산 손실을 야기한 경우, 피고인이 이익 추구 또는 상습적으로 범죄를 수행하기 위해 결성된 조직의 일원으로서 행위를 저지른 경우, 주요 사회 기반 시설의 가용성, 기능성, 무결성, 신뢰성, 기밀성을 손상시킨 경우에는 징역 3~5년에 처합니다.”
202a 형법은 컴퓨터 해킹 범죄가 만연하기 전인 1986년, 경제 범죄 방지를 위해 처음 도입되었다. 형사 처벌 대상으로 지정된 행위가 범죄 목적으로 이뤄진 것인지 아닌지를 구분하지 않고 처벌한다는 내용을 담고 있다. 때문에 이것이 ‘해킹 행위와 유사한 취약점 연구 행위’에 적용될 경우, 보안 전문가들 역시 처벌 대상으로 인식될 수밖에 없다.
하지만 2007년 컴퓨터 범죄 방지를 위한 형법 개정법 41호를 통해 이 202a 형법 제1항이 개정됐다. 유럽연합에서 결정한 정보 시스템 보안 관련 프레임워크를 독일 정부가 국내법에 반영한 것이기도 하다. 이 개정된 조항에 따르면 권한 없이 특별히 보호된 데이터에 불법적으로 접근하는 것, 혹은 방어 시스템을 뚫고 접근하는 것은 징역 3년 이하의 형벌이나 벌금형 대상이 된다. 이는 접근 행위 자체에 불법성을 부여한 것이라고 볼 수 있다. 접근 행위을 유발한 의도나 목적성은 그리 중요한 고려 대상이 아닐 수 있다.
하지만 보안 연구를 수행하려면 방어 수단을 무력화하는 것이 사실상 필수다. 보안 연구자들은 빈번하게 기존 방어 체계를 무너트리고, 그 과정에서 보안 취약점을 찾곤 한다. 게다가 인위적인 실험실 환경에서만이 아니라 실제 사용자들이 조성한 환경에서 이런 연구를 진행해야 할 때도 많다. 그런 상황에서 접근 자체에 불법성을 부여한다면 많은 보안 전문가들이 자신들의 연구 행위 때문에 범죄자가 될 수밖에 없다. 다만 현행법상 시스템 접근 권한을 가진 사람의 동의가 있을 경우 보안 연구 행위는 합법적인 것이 된다. 여기에는, 동의를 구하는 것 자체가 까다롭고 복잡해 보안 연구자들이 불필요한 노력과 시간을 투자해야 한다는 문제가 있다.
그렇다면 법은 취약점 연구를 위해 보안 연구자들의 ‘동의 없는 시스템 접근’을 보장해주어야 할까? 이건 보안 전문가들 사이에서도 다양한 의견이 나오는 주제다. 이번 법안을 준비한 입법자들은 “실생활 환경에서 보안 취약점을 탐색하는 것은 어느 정도 바람직할 수 있으며, 모든 관련자의 사전 동의를 구하지 않아야 오히려 더 실질적인 연구 결과가 나올 때가 있다”며 “함부로 접근하는 악성 행위를 제재하는 것도 필요하지만 보안 연구를 활성화시키는 것도 제도를 만드는 자들의 중요한 할 일”이라고 설명한다. 즉 “이제부터 보안 전문가라면 아무 시스템이나 마구 들어가도록 하는 게 이번 법안의 목적이 아니”라는 것이다.
“이번 개정안은 보안 연구자가 타인의 데이터에 선한 목적을 가지고 접근하고 활용했을 때 합법성을 부여할 수 있게 하는 것을 목표로 하고 있습니다. 현재까지는 그 선한 목적이라는 걸 입증하는 게 대단히 어렵고 불편했는데, 그것을 좀 더 수월하게 하려고 합니다. 보안 취약점들을 되도록 많이 찾아 보완해야 정보 사회가 안전해지니까 그렇습니다.” 입법자들의 설명이다. “그래서 과학적 혹은 학술적 연구에만 이 새 법을 적용시키려 하지 않습니다. 상업적 보안 업체와 독립적 보안 연구자들에게도 적용하려 합니다.”
‘좀 더 수월하게’ 하는 방법 중 하나는 특정 신고 절차를 따르도록 요구하지 않는 것이다. 이번 법안을 통해 보안 연구에 대한 사전 신고 방법이 간소화 되거나 아예 사라질 수도 있다. “하지만 취약점 연구가 합법적으로 보장받는 건, 그 연구 결과가 공공에 도움이 되기 때문입니다. 따라서 합법성을 보장을 받은 보안 연구자가 자신의 개인 웹사이트에 연구 결과를 대략 올리는 것은 바람직하지 않습니다. 해당 문제를 해결할 수 있는 사람에게 꼭 보고하도록 되어야 제도가 의미를 갖게 됩니다. 사전 신고는 간소화 되지만, 사후 보고는 필수가 될 것입니다.”
균형 잡기
취약점 연구에 있어서 더 높은 자율성만을 부여한다면 부작용이 생길 가능성이 높다. 그렇기 때문에 독일 입법자들은 이를 방지하기 위한 장치도 마련했다. 형벌 대상이 아닌 경우를 분명하고 명확하게 해 두며 그 범위를 확장한 대신 형벌 대상에 해당되는 경우의 처벌 수위를 높인다는 항목을 추가해 균형을 맞췄다.
[이미지 = gettyimagesbank]
“형법 제202a조(데이터 탐색) 및 제202b조(데이터 가로채기)는 최고 형벌이 징역 3년으로 규정되어 있어, 모든 공격 행위에 대해 적절한 형벌을 부과하기 어렵다는 문제가 있었습니다. 특히 중요한 인프라에 대한 공격에서, 타인의 데이터 시스템에 점점 더 전문적으로 접근하는 경우가 많아지기 때문에 더 그렇습니다. 따라서 최소 3개월에서 최대 5년의 징역형을 선고할 수 있도록 해야 한다고 봅니다.” 법안에 나와 있는 내용이다.
흥미롭게도 독일 내에서 ‘해커 규정’이라고 불리는 202c조의 경우 개정 대상이 아니라고 명시됐다. 초안에는 그 이유를 다음과 같이 설명하고 있다. “이 조항은 데이터 탐색 및 가로채기를 준비하는 행위를 처벌 대상으로 삼고 있으며, 제202a조 및 제202b조의 개정으로 인해 IT 보안 연구는 이제 더 이상 형사 처벌의 위험이 없게 될 것입니다. 이 규정은 데이터 탐색 또는 가로채기 범죄를 위해 고안된 컴퓨터 프로그램을 대상으로 하고, 사용자가 제202a조 및 제202b조에 따라 범죄를 준비하는 경우에만 처벌됩니다.” 즉 202a와 202b조를 충분히 바꿀 것이기 때문에 202c는 지금 그대로 놔두어도 무방하다는 뜻이다.
해킹에 필요한 도구를 만들어 배포하는 경우는 어떻게 될까? 이 때도 행위 자체보다 그 행위의 목적성이 중요하다고 법안은 강조하고 있다. “해킹 도구를 만들어 배포할 때 그것이 이 법 개정안에 포함된 범죄 행위에 해당하지 않는 사용을 목적으로 한다면 범죄를 목적으로 하지 않은 것으로 간주됩니다. 또한, 사용자가 해당 프로그램이 범죄에 사용될 것인지 알지 못하거나 그 목적을 알지 못할 경우에도 마찬가지입니다. IT 보안 연구를 목적으로 하는 경우 누구나 이 도구를 처벌 없이 취득할 수 있습니다.”
그 외에 수정이 필요한 규정들
a) 재물 손괴 : 독일 형법 303조에 따르면 타인의 정보 시스템에 접근하여 해당 IT 장치가 상당 기간 사용 불가능해지는 경우 재물 손괴 규정이 적용된다. 하지만 303b조의 요건이 충족되는 상황에서는 303b조가 우선시 된다. 아직 법학계에서 이 두 조항의 관계성은 뜨거운 논란의 대상인데, 이 부분을 좀 더 명확히 할 필요가 있다. 303b조가 303조를 포함하는 것으로 보는 시각이 좀 더 일반적이며, 이번 법안을 통해서 이러한 면이 확실해질 가능성이 높다. 즉 보안 연구에 있어 303b조 내용이 충족되지 않을 때에만 재물 손괴죄가 적용될 수 있다는 뜻이다. 303b조는 “재산의 기능이 저해되긴 하지만 중요한 데이터 처리의 심각한 방해를 야기하지 않는다”는 내용을 담고 있다. 이 경우 재물 손괴가 아니게 된다.
b) 영업 비밀 보호법 : IT 보안 연구 과정에서 영업 비밀이 획득되고 공개 절차에서 드러날 수 있다. 영업 비밀 보호법 제23조에 따라 형사 처벌의 가능성이 발생할지 여부는 주로 행위자가 자신의 이익을 위해 비밀을 노출시켰는지, 타인을 위해서인지, 혹은 기업에 손해를 입힐 의도로 행했는지에 따라 결정된다. 손해를 입힐 의도로 행위하는 경우는 드물지만, 이익을 목적으로 행위하는 경우가 더 많을 수 있다. 영업 비밀 보호와 공익에 해당하는 보안 연구 사이에 적절한 균형을 맞추는 것이 필요하다. 법원은 이 ‘적절한 균형’을 판단할 때 형법 제202a조를 참고할 것으로 예상된다. 즉 영업 비밀과 엉켜버린 보안 연구의 경우 무조건 처벌, 무조건 용서가 아니라 사건별로 판단이 될 것이라는 의미가 된다.
c) 리버스 엔지니어링(역공학) : 보안 연구에서 역공학 방식으로 보안 취약점을 확인하려는 경우도 있다. 역공학은 기존 제품을 분석하여 구성 요소, 작동 방식, 제조 과정을 파악하는 것이다. 이는 제품에서 아이디어로 거슬러 올라가는 일종의 거꾸로 된 제조 과정이다. 영업 비밀 보호법 제3조 제1항 2호는 영업 비밀을 역공학으로 획득하는 것에 대한 규정을 두고 있지만, 이는 제품이 공개적으로 이용 가능하거나 정당한 소유권을 가진 자의 경우에만 허용된다. IT 보안 연구에서는 이 조건을 충족하지 못하는 경우가 많다. 영업 비밀 보호법 제3조 제1항 2호의 요건이 충족되지 않는다고 해서 그 행위가 반드시 불법 행위로 간주되지는 않으며, 예외적으로 정당한 이익이 있는 행위로 평가될 수 있다. 그렇지 않으면 영업 비밀 보호법 제5조가 무의미해질 수 있기 때문이다.
이 경우 개별 사안에 대한 판단이 항상 필요하다. 영업 비밀 보호법 제5조의 검토 과정에서는 정당한 이익이 영업 비밀 침해를 정당화할 수 있을 정도로 강력한지 여부가 고려되어야 한다. 영업 비밀 보호법 제5조에 대한 입법 설명에 따르면, 정당한 이익에는 경제적 이익도 포함될 수 있으며, 행위가 반드시 완전히 이타적일 필요는 없다. 즉 역공학 문제도 사건별로 판단이 이뤄져야 한다는 의미다. 영업 비밀 보호법이나 역공학 관련 규정 모두 최신화와 개정을 통해 사건별 판단이 보다 일관될 수 있도록 할 필요가 있다.
c) 저작권 : 소프트웨어의 취약점을 검토할 때 소스코드를 복제하거나 번역하거나 하는 습득 및 수정 과정이 필요할 때가 있다. 객체 코드를 소스코드로 역컴파일 하는 과정이 필요하기도 하다. 이 과정에서 저작권 침해가 일어날 수 있다. 다만 소프트웨어 라이선스를 발행하는 쪽이나 소유한 쪽에서 허가해주면 문제가 해결되지만, 그 허가를 받는다는 게 생각만큼 쉽지가 않다. 저작권을 침해하면 독일에서는 형사 처벌을 받게 된다. 따라서 보안 연구자들은 제일 먼저 소프트웨어 라이선스 조건을 검토해 소스코드를 어느 정도까지 사용할 수 있는지 파악해야 한다. 어떤 소프트웨어 라이선스 소유자는 오류 탐지를 위한 연구 행위를 허용하기도 한다.
이번에 발의된 법안으로 인해 소프트웨어 저작권 규정이 느슨해질 가능성은 높지 않다. 유럽연합 때문이다. 유럽연합은 현재 독일 정부가 IT 보안 연구를 위해 소프트웨어 저작권법을 개정하는 것을 달가워하지 않는다. 보안 연구를 위해 보안 연구자들이 소프트웨어 라이선스를 일시적으로 받는 것 역시 허용하지 않고 있다. 현재까지 유럽연합은 보안 연구 때문에 저작권이 조금이라도 훼손되거나 허술해지는 것을 경계하고 있으며, 이러한 측면에 있어서는 조금도 양보할 생각이 없어 보인다. 따라서 독일도 여기에 당분간 묶여 있을 수밖에 없다.
의도가 변경된다면 어떨까?
한 마디로 독일의 현행법은 불법적인 접근 그 자체를 엄중히 금하고 있으나, 이제는 그 불법적인 접근의 의도에 좀 더 비중을 두는 방향으로 변하기 직전이라고 요약이 가능하다. 하지만 처음에는 선의로 접근해 취약점을 발견했으나, 나중에 변심하여 이를 신고하지 않고 악용했을 때는 어떻게 될까? 해킹할 당시의 의도가 중요하니 그 시점을 기준으로 무죄를 선고해야 할까? 이번 법안에서는 202a조 1항, 202b 1항, 303a 1항에 따라 처벌되지 않는다고 나와 있다.
[이미지 = gettyimagesbank]
“실제 그런 상황이 자주 발생할 가능성은 낮다고 볼 수 있습니다. 처음에는 선의였다고 주장한다 하더라도 결국 나중에 데이터를 판매하거나 심각한 피해를 입혔다면, 그 최초의 선의라는 걸 믿기 힘들기 때문입니다. ‘의도’라는 주관적 요소는 사건의 객관적 정황을 기준으로 판단하는 게 정석이며, 여기에는 사후 행위도 포함됩니다. 따라서 처음에는 선의였지만 나중에 바뀌었다는 게 진지하게 받아들여지는 상황은 극히 드물 것으로 예상합니다.”
하지만 이게 그렇게 간단하게 끝날 문제가 아니라는 걸 입법자들은 잘 알고 있다. “다양한 상황이 고려될 수 있습니다. 만약 여기에 연루된 데이터가 영업 비밀을 포함하고 있다면 어떨까요? 위에서 논의된 영업 비밀 관련 법에 따라 사안별로 판단되어야 하며, 따라서 처벌될 수 있습니다. 물론 처벌이 안 될 수도 있고요. 영업 비밀을 가지고 개인적인 이익이나 경쟁에서의 우위를 점하려는 목적을 추구했다면 처벌이 되겠지요. 부당한 공개 역시 처벌의 대상이 됩니다.” 개인정보 역시 조심해야 한다. “영업 비밀이 아닌 개인정보의 경우에도 여전히 처벌이 가능합니다.”
영업 비밀도 아니고 개인정보도 아닌 일반 데이터의 경우 처벌되지 않을 가능성이 높다. 이런 일반 데이터와 관련하여 불법 행위를 입증할 방법이 많지 않기 때문이다. 불법적인 공개나 부당한 유통에 해당되지 않고, 사적인 이득 추구에도 해당되지 않는다.
최근 미국에서 있었던 보안 연구자 고소 사건
최근 미국의 오하이오 주 콜럼버스 시는 내부 고발자인 데이비드 르로이 로스(David Leroy Ross)에 대한 고소를 취하하고 합의에 이르렀다. 로스는 콜럼버스 시가 사이버 공격을 받아 주민들의 개인정보를 잃었다는 것을 언론에 알렸고, 이 때문에 콜럼버스 시 측의 고소를 당했었다. 공격은 7월 18일에 있었고, 공격자들은 시의 IT 인프라를 교란시켜 랜섬웨어를 설치하려 했다.
[이미지 = gettyimagesbank]
이 사건의 배후에는 라이시다(Rhysida)라는 악명 높은 랜섬웨어 조직이 있는 것으로 밝혀졌다. 이들은 이 사건을 통해 시민들의 이름, 생년월일, 주소, 은행 계좌 정보, 운전면허증, 사회 보장 번호 등 개인 식별 정보를 가져가는 데 성공했다. 라이시다는 이 정보를 다크웹에 게시했는데, 아마도 시 측에서 이들과의 거래를 거부한 것으로 추정된다. 피해를 입은 시민은 50만 명이었고, 시는 피해자들에게 알림 메일을 내보냈다.
그러면서 콜럼버스 시는 외부 사이버 보안 전문가를 고용해 시스템 복구와 대비, 보안 강화 작업을 실시했고, 유관 기관에 사건을 통보하는 등 일반적인 조치를 취했다. 그 외부 보안 전문가 중에 로스가 있었다. 그리고 8월, 데이터 유출에 관해 외부에 알리는 것을 금했는데 로스가 이를 어겼다며 콜롬버스 시는 2만 5천 달러의 손해배상을 요구했었다.
이 사실이 알려지자 보안 커뮤니티에서는 난리가 났다. 그러면서 시측 법무 담당자에게 다음과 같은 서신을 보내기도 했다.
존경하는 변호사님께
아래 서명한 정보 보안 전문가들은 데이비드 로스 씨를 대상으로 제기된 민사 소송에 대한 우려를 표명하고자 이 편지를 씁니다. 이번 소송은 그가 라이시다 랜섬웨어 조직에 의해 도난당한 데이터를 유포한 혐의로 처벌하려는 목적을 띠고 있습니다. 이는 잘못된 판단이며, 콜럼버스 시민들이 이번 랜섬웨어 공격으로 인해 지속적으로 받게 될 위험으로부터 스스로를 보호할 수 있는 중요한 정보를 얻지 못하게 할 수 있습니다.
콜럼버스 시는 도난당한 데이터가 여전히 접근 가능한 상태에 있다는 사실과, 랜섬웨어 공격이 시민들에게 미칠 영향을 잘못 판단했습니다. 로스 씨의 공개가 없었다면, 피해를 입은 시민들은 여전히 자신의 개인정보가 안전하다는 잘못된 믿음 속에서 살아가며, 자신을 보호하기 위한 추가 조치를 필요 없다고 여겼을 겁니다. 이번 사건에서 실제 범죄자는 라이시다라는 이름을 쓰는 랜섬웨어 조직입니다.
(중략)
이 서문에 서명한 전문가들의 의견으로는, 라이시다가 탈취해 게시한 정보에 접근하기 위해 특별한 컴퓨터 기술이나 전문성이 필요하지 않습니다. 무료로 제공되는 토르 브라우저를 사용해 토르 네트워크에 접근할 수 있습니다. 토르 브라우는 범죄용도 아니고 따라서 비공개 소프트웨어도 아닙니다. 랜섬웨어 범죄자들이 공개한 데이터에 쉽게 접근할 수 있다는 사실은 다양한 연령대와 기술 수준을 가진 사람들, 심지어 어린이들에 의해 수없이 입증되었습니다. 로스 씨는 선의의 보안 연구 활동에 참여했습니다.
도난당한 데이터가 쉽게 접근 가능한 플랫폼에 존재한다는 사실은 콜럼버스 시민들이 여전히 위험에 노출되어 있음을 의미합니다. 로스 씨에 대한 기소를 철회함으로써 콜럼버스 시는 이러한 위험을 완화하고, 데이터 유출의 실제 성격에 대해 시민들에게 알리며, 시의 정보 보안 태세를 강화하기 위한 적극적인 조치를 취할 기회를 가질 수 있습니다. 로스 씨가 공공을 보호하기 위해 취한 행동을 처벌하는 것은 실질적인 문제를 흐리게 하고 라이시다가 초래한 위협을 해결하는 데 필요한 자원을 낭비하는 결과를 초래할 뿐입니다.
저희는 이번 소송을 재고하시고, 선의로 행동하는 이들을 처벌하기보다는 투명성과 공공 안전을 우선시할 것을 촉구합니다. 공공을 보호하는 것은 최우선 과제이며, 이는 데이터 유출의 범위를 인정하고 시민들이 개인 정보를 안전하게 보호할 수 있도록 구체적인 조치를 취함으로써 달성될 수 있습니다.
이 사건은 취약점 연구와는 성격이 다르다. 하지만 공공을 위해서 보안 전문가가 불법적 행위를 감행했다는 것에서는 본질적으로 같은 맥락에 있다. 보안 전문가 로스는 랜섬웨어 사건을 대중들에게 알려야 각자가 스스로를 보호할 수 있다고 여겨 정보를 누설했고, 이 때문에 고발을 당했다. 그의 의도와 상관없이 ‘정보 누설은 불법’이라는 원칙이 고수됐다면 그는 상당히 엄중한 벌을 받았을 가능성이 높다. 이 때문에 보안 전문가의 ‘의도’가 행위 그 자체보다 더 중요하다는 이야기가 나오고 있고 독일을 비롯해 여러 나라에서 이를 반영하기 위한 제도를 마련하는 중인 것이다.
다만 보안 전문가의 의도라는 것을 어떻게 판단하고 증명할 것인지가 난제로 남아있다. 독일에서 마련되는 법안이 이 난제를 푸는 실마리가 될 지도 모르겠다.
[국제부 문가용 기자(globoan@boannews.com)]
[보안뉴스 문가용 기자] 최근 독일 의회에서는 컴퓨터 범죄법을 현대화 하려는 움직임이 생겨나고 있다. 이미 초안이 제출된 상황이고, 이것을 바탕으로 보안 전문가들의 취약점 연구가 법적으로 보다 안전해지도록 하려는 것이 독일 정부의 목표라고 한다. 타사 제품이나 소프트웨어에서 취약점을 발견한 보안 전문가가 도리어 고소 역풍을 맞는 현상을 의미 있게 줄여보고자 하는 게 이번 법안의 핵심이라고 할 수 있다. 보안 전문가들 사이에서 오랜 시간 요구되어 왔던 제도이기 때문에 초안의 내용을 살짝 엿보고자 한다.
[이미지 = gettyimagesbank]
대략적인 내용
법안은 서두에 “사회적 이익을 위해 수행되어 바람직한 행위를 법으로 위축시키지 않는 게 중요하다”고 명시하고 있다. 현재 그대로의 컴퓨터 범죄법의 경우 위축의 우려가 농후하다고 지적하기도 했다. “IT 보안은 정보 사회의 아킬레스건으로, 사이버 공격을 방어하기 위해 보안 취약점을 해결하는 것이 매우 중요합니다. 따라서 일부 IT 제품과 환경에 존재하는 취약점을 살펴볼 필요가 있습니다. IT 시스템의 보안 취약점을 발견하는 것은 IT 보안 연구의 전형적인 활동에 속합니다. 이러한 연구를 위해서는 주로 실제로 사용 중인 타인의 정보 시스템과 데이터에 접근하는 것이 필요합니다. 이러한 상황은 형사 처벌 위험을 내포하고 있어, 금지된 행위뿐만 아니라 사회적으로 바람직한 행위조차도 위축시킬 수 있는 역효과를 초래할 수 있습니다.”
현재의 보안 관련 법이 왜 보안 연구 행위를 위축시키게 되는가? 이에 대해 법안은 다음과 같이 설명한다. “현재 법은 접근 권한이 없는 데이터에 대한 비인가 접근을 범죄로 규정하고 있으며, 접근 가능성만으로도 범죄 구성 요건을 충족할 수 있습니다. 따라서 단순한 시스템 접근만으로도 해당 범죄에 해당될 수 있습니다. 형벌의 범위가 컴퓨터 범죄의 위험성 및 높은 피해 잠재력을 일부 반영하지 못하고 있다는 것도 현행법의 문제입니다. 사회 인프라에 대한 해킹 공격에서 특히 현행법의 허술함이 드러납니다.”
여기까지만 보면 이번 법안의 목적이 뚜렷하게 나온다. 초안에도 명시되어 있다. “이 법안의 목표는 보호 받아야 할 IT 보안 연구 행위와, 형사 처벌이 요구되는 행위를 명확히 구분하는 것입니다. 이 법안은 기존의 법적 불확실성을 해소하고, 중대한 범행 유형에 대한 형벌의 범위를 확대하고자 합니다.” 그렇게 하기 위해서 다음과 같은 개정이 필요하다고 발의자들은 주장했다.
문제의 핵심 202a 형법
현재 컴퓨터 범죄 행위에 적용되는 형법인 202a 형법은 1998년 11월 13일에 공표되었으며, 2024년 7월 30일 마지막으로 개정되었다고 한다. 그리고 이번 법안을 통해 몇 가지 항목의 추가가 제안됐다. 먼저는 범죄 행위로 인정되지 않는 경우들이 좀 더 상세해야 한다는 내용이다. “정보 기술 시스템의 약점 또는 다른 보안 위험을 확인하기 위한 의도로 이루어진 행위로, 정보 기술 시스템의 책임자, 각 시스템을 운영하는 서비스 제공자, 관련 IT 응용 프로그램 제조자, 또는 연방 정보 보안청에 통보하기 위한 경우에는 범죄에 해당하지 않습니다. 보안 취약점을 확인하기 위해 필요한 행위로 판단되면 범죄에 해당하지 않습니다.”
[이미지 = gettyimagesbank]
하지만 반대로 ‘중대한 처벌이 요구되는 경우’에도 추가 항목이 제안됐다. “피고인이 상당한 규모의 재산 손실을 야기한 경우, 피고인이 이익 추구 또는 상습적으로 범죄를 수행하기 위해 결성된 조직의 일원으로서 행위를 저지른 경우, 주요 사회 기반 시설의 가용성, 기능성, 무결성, 신뢰성, 기밀성을 손상시킨 경우에는 징역 3~5년에 처합니다.”
202a 형법은 컴퓨터 해킹 범죄가 만연하기 전인 1986년, 경제 범죄 방지를 위해 처음 도입되었다. 형사 처벌 대상으로 지정된 행위가 범죄 목적으로 이뤄진 것인지 아닌지를 구분하지 않고 처벌한다는 내용을 담고 있다. 때문에 이것이 ‘해킹 행위와 유사한 취약점 연구 행위’에 적용될 경우, 보안 전문가들 역시 처벌 대상으로 인식될 수밖에 없다.
하지만 2007년 컴퓨터 범죄 방지를 위한 형법 개정법 41호를 통해 이 202a 형법 제1항이 개정됐다. 유럽연합에서 결정한 정보 시스템 보안 관련 프레임워크를 독일 정부가 국내법에 반영한 것이기도 하다. 이 개정된 조항에 따르면 권한 없이 특별히 보호된 데이터에 불법적으로 접근하는 것, 혹은 방어 시스템을 뚫고 접근하는 것은 징역 3년 이하의 형벌이나 벌금형 대상이 된다. 이는 접근 행위 자체에 불법성을 부여한 것이라고 볼 수 있다. 접근 행위을 유발한 의도나 목적성은 그리 중요한 고려 대상이 아닐 수 있다.
하지만 보안 연구를 수행하려면 방어 수단을 무력화하는 것이 사실상 필수다. 보안 연구자들은 빈번하게 기존 방어 체계를 무너트리고, 그 과정에서 보안 취약점을 찾곤 한다. 게다가 인위적인 실험실 환경에서만이 아니라 실제 사용자들이 조성한 환경에서 이런 연구를 진행해야 할 때도 많다. 그런 상황에서 접근 자체에 불법성을 부여한다면 많은 보안 전문가들이 자신들의 연구 행위 때문에 범죄자가 될 수밖에 없다. 다만 현행법상 시스템 접근 권한을 가진 사람의 동의가 있을 경우 보안 연구 행위는 합법적인 것이 된다. 여기에는, 동의를 구하는 것 자체가 까다롭고 복잡해 보안 연구자들이 불필요한 노력과 시간을 투자해야 한다는 문제가 있다.
그렇다면 법은 취약점 연구를 위해 보안 연구자들의 ‘동의 없는 시스템 접근’을 보장해주어야 할까? 이건 보안 전문가들 사이에서도 다양한 의견이 나오는 주제다. 이번 법안을 준비한 입법자들은 “실생활 환경에서 보안 취약점을 탐색하는 것은 어느 정도 바람직할 수 있으며, 모든 관련자의 사전 동의를 구하지 않아야 오히려 더 실질적인 연구 결과가 나올 때가 있다”며 “함부로 접근하는 악성 행위를 제재하는 것도 필요하지만 보안 연구를 활성화시키는 것도 제도를 만드는 자들의 중요한 할 일”이라고 설명한다. 즉 “이제부터 보안 전문가라면 아무 시스템이나 마구 들어가도록 하는 게 이번 법안의 목적이 아니”라는 것이다.
“이번 개정안은 보안 연구자가 타인의 데이터에 선한 목적을 가지고 접근하고 활용했을 때 합법성을 부여할 수 있게 하는 것을 목표로 하고 있습니다. 현재까지는 그 선한 목적이라는 걸 입증하는 게 대단히 어렵고 불편했는데, 그것을 좀 더 수월하게 하려고 합니다. 보안 취약점들을 되도록 많이 찾아 보완해야 정보 사회가 안전해지니까 그렇습니다.” 입법자들의 설명이다. “그래서 과학적 혹은 학술적 연구에만 이 새 법을 적용시키려 하지 않습니다. 상업적 보안 업체와 독립적 보안 연구자들에게도 적용하려 합니다.”
‘좀 더 수월하게’ 하는 방법 중 하나는 특정 신고 절차를 따르도록 요구하지 않는 것이다. 이번 법안을 통해 보안 연구에 대한 사전 신고 방법이 간소화 되거나 아예 사라질 수도 있다. “하지만 취약점 연구가 합법적으로 보장받는 건, 그 연구 결과가 공공에 도움이 되기 때문입니다. 따라서 합법성을 보장을 받은 보안 연구자가 자신의 개인 웹사이트에 연구 결과를 대략 올리는 것은 바람직하지 않습니다. 해당 문제를 해결할 수 있는 사람에게 꼭 보고하도록 되어야 제도가 의미를 갖게 됩니다. 사전 신고는 간소화 되지만, 사후 보고는 필수가 될 것입니다.”
균형 잡기
취약점 연구에 있어서 더 높은 자율성만을 부여한다면 부작용이 생길 가능성이 높다. 그렇기 때문에 독일 입법자들은 이를 방지하기 위한 장치도 마련했다. 형벌 대상이 아닌 경우를 분명하고 명확하게 해 두며 그 범위를 확장한 대신 형벌 대상에 해당되는 경우의 처벌 수위를 높인다는 항목을 추가해 균형을 맞췄다.
[이미지 = gettyimagesbank]
“형법 제202a조(데이터 탐색) 및 제202b조(데이터 가로채기)는 최고 형벌이 징역 3년으로 규정되어 있어, 모든 공격 행위에 대해 적절한 형벌을 부과하기 어렵다는 문제가 있었습니다. 특히 중요한 인프라에 대한 공격에서, 타인의 데이터 시스템에 점점 더 전문적으로 접근하는 경우가 많아지기 때문에 더 그렇습니다. 따라서 최소 3개월에서 최대 5년의 징역형을 선고할 수 있도록 해야 한다고 봅니다.” 법안에 나와 있는 내용이다.
흥미롭게도 독일 내에서 ‘해커 규정’이라고 불리는 202c조의 경우 개정 대상이 아니라고 명시됐다. 초안에는 그 이유를 다음과 같이 설명하고 있다. “이 조항은 데이터 탐색 및 가로채기를 준비하는 행위를 처벌 대상으로 삼고 있으며, 제202a조 및 제202b조의 개정으로 인해 IT 보안 연구는 이제 더 이상 형사 처벌의 위험이 없게 될 것입니다. 이 규정은 데이터 탐색 또는 가로채기 범죄를 위해 고안된 컴퓨터 프로그램을 대상으로 하고, 사용자가 제202a조 및 제202b조에 따라 범죄를 준비하는 경우에만 처벌됩니다.” 즉 202a와 202b조를 충분히 바꿀 것이기 때문에 202c는 지금 그대로 놔두어도 무방하다는 뜻이다.
해킹에 필요한 도구를 만들어 배포하는 경우는 어떻게 될까? 이 때도 행위 자체보다 그 행위의 목적성이 중요하다고 법안은 강조하고 있다. “해킹 도구를 만들어 배포할 때 그것이 이 법 개정안에 포함된 범죄 행위에 해당하지 않는 사용을 목적으로 한다면 범죄를 목적으로 하지 않은 것으로 간주됩니다. 또한, 사용자가 해당 프로그램이 범죄에 사용될 것인지 알지 못하거나 그 목적을 알지 못할 경우에도 마찬가지입니다. IT 보안 연구를 목적으로 하는 경우 누구나 이 도구를 처벌 없이 취득할 수 있습니다.”
그 외에 수정이 필요한 규정들
a) 재물 손괴 : 독일 형법 303조에 따르면 타인의 정보 시스템에 접근하여 해당 IT 장치가 상당 기간 사용 불가능해지는 경우 재물 손괴 규정이 적용된다. 하지만 303b조의 요건이 충족되는 상황에서는 303b조가 우선시 된다. 아직 법학계에서 이 두 조항의 관계성은 뜨거운 논란의 대상인데, 이 부분을 좀 더 명확히 할 필요가 있다. 303b조가 303조를 포함하는 것으로 보는 시각이 좀 더 일반적이며, 이번 법안을 통해서 이러한 면이 확실해질 가능성이 높다. 즉 보안 연구에 있어 303b조 내용이 충족되지 않을 때에만 재물 손괴죄가 적용될 수 있다는 뜻이다. 303b조는 “재산의 기능이 저해되긴 하지만 중요한 데이터 처리의 심각한 방해를 야기하지 않는다”는 내용을 담고 있다. 이 경우 재물 손괴가 아니게 된다.
b) 영업 비밀 보호법 : IT 보안 연구 과정에서 영업 비밀이 획득되고 공개 절차에서 드러날 수 있다. 영업 비밀 보호법 제23조에 따라 형사 처벌의 가능성이 발생할지 여부는 주로 행위자가 자신의 이익을 위해 비밀을 노출시켰는지, 타인을 위해서인지, 혹은 기업에 손해를 입힐 의도로 행했는지에 따라 결정된다. 손해를 입힐 의도로 행위하는 경우는 드물지만, 이익을 목적으로 행위하는 경우가 더 많을 수 있다. 영업 비밀 보호와 공익에 해당하는 보안 연구 사이에 적절한 균형을 맞추는 것이 필요하다. 법원은 이 ‘적절한 균형’을 판단할 때 형법 제202a조를 참고할 것으로 예상된다. 즉 영업 비밀과 엉켜버린 보안 연구의 경우 무조건 처벌, 무조건 용서가 아니라 사건별로 판단이 될 것이라는 의미가 된다.
c) 리버스 엔지니어링(역공학) : 보안 연구에서 역공학 방식으로 보안 취약점을 확인하려는 경우도 있다. 역공학은 기존 제품을 분석하여 구성 요소, 작동 방식, 제조 과정을 파악하는 것이다. 이는 제품에서 아이디어로 거슬러 올라가는 일종의 거꾸로 된 제조 과정이다. 영업 비밀 보호법 제3조 제1항 2호는 영업 비밀을 역공학으로 획득하는 것에 대한 규정을 두고 있지만, 이는 제품이 공개적으로 이용 가능하거나 정당한 소유권을 가진 자의 경우에만 허용된다. IT 보안 연구에서는 이 조건을 충족하지 못하는 경우가 많다. 영업 비밀 보호법 제3조 제1항 2호의 요건이 충족되지 않는다고 해서 그 행위가 반드시 불법 행위로 간주되지는 않으며, 예외적으로 정당한 이익이 있는 행위로 평가될 수 있다. 그렇지 않으면 영업 비밀 보호법 제5조가 무의미해질 수 있기 때문이다.
이 경우 개별 사안에 대한 판단이 항상 필요하다. 영업 비밀 보호법 제5조의 검토 과정에서는 정당한 이익이 영업 비밀 침해를 정당화할 수 있을 정도로 강력한지 여부가 고려되어야 한다. 영업 비밀 보호법 제5조에 대한 입법 설명에 따르면, 정당한 이익에는 경제적 이익도 포함될 수 있으며, 행위가 반드시 완전히 이타적일 필요는 없다. 즉 역공학 문제도 사건별로 판단이 이뤄져야 한다는 의미다. 영업 비밀 보호법이나 역공학 관련 규정 모두 최신화와 개정을 통해 사건별 판단이 보다 일관될 수 있도록 할 필요가 있다.
c) 저작권 : 소프트웨어의 취약점을 검토할 때 소스코드를 복제하거나 번역하거나 하는 습득 및 수정 과정이 필요할 때가 있다. 객체 코드를 소스코드로 역컴파일 하는 과정이 필요하기도 하다. 이 과정에서 저작권 침해가 일어날 수 있다. 다만 소프트웨어 라이선스를 발행하는 쪽이나 소유한 쪽에서 허가해주면 문제가 해결되지만, 그 허가를 받는다는 게 생각만큼 쉽지가 않다. 저작권을 침해하면 독일에서는 형사 처벌을 받게 된다. 따라서 보안 연구자들은 제일 먼저 소프트웨어 라이선스 조건을 검토해 소스코드를 어느 정도까지 사용할 수 있는지 파악해야 한다. 어떤 소프트웨어 라이선스 소유자는 오류 탐지를 위한 연구 행위를 허용하기도 한다.
이번에 발의된 법안으로 인해 소프트웨어 저작권 규정이 느슨해질 가능성은 높지 않다. 유럽연합 때문이다. 유럽연합은 현재 독일 정부가 IT 보안 연구를 위해 소프트웨어 저작권법을 개정하는 것을 달가워하지 않는다. 보안 연구를 위해 보안 연구자들이 소프트웨어 라이선스를 일시적으로 받는 것 역시 허용하지 않고 있다. 현재까지 유럽연합은 보안 연구 때문에 저작권이 조금이라도 훼손되거나 허술해지는 것을 경계하고 있으며, 이러한 측면에 있어서는 조금도 양보할 생각이 없어 보인다. 따라서 독일도 여기에 당분간 묶여 있을 수밖에 없다.
의도가 변경된다면 어떨까?
한 마디로 독일의 현행법은 불법적인 접근 그 자체를 엄중히 금하고 있으나, 이제는 그 불법적인 접근의 의도에 좀 더 비중을 두는 방향으로 변하기 직전이라고 요약이 가능하다. 하지만 처음에는 선의로 접근해 취약점을 발견했으나, 나중에 변심하여 이를 신고하지 않고 악용했을 때는 어떻게 될까? 해킹할 당시의 의도가 중요하니 그 시점을 기준으로 무죄를 선고해야 할까? 이번 법안에서는 202a조 1항, 202b 1항, 303a 1항에 따라 처벌되지 않는다고 나와 있다.
[이미지 = gettyimagesbank]
“실제 그런 상황이 자주 발생할 가능성은 낮다고 볼 수 있습니다. 처음에는 선의였다고 주장한다 하더라도 결국 나중에 데이터를 판매하거나 심각한 피해를 입혔다면, 그 최초의 선의라는 걸 믿기 힘들기 때문입니다. ‘의도’라는 주관적 요소는 사건의 객관적 정황을 기준으로 판단하는 게 정석이며, 여기에는 사후 행위도 포함됩니다. 따라서 처음에는 선의였지만 나중에 바뀌었다는 게 진지하게 받아들여지는 상황은 극히 드물 것으로 예상합니다.”
하지만 이게 그렇게 간단하게 끝날 문제가 아니라는 걸 입법자들은 잘 알고 있다. “다양한 상황이 고려될 수 있습니다. 만약 여기에 연루된 데이터가 영업 비밀을 포함하고 있다면 어떨까요? 위에서 논의된 영업 비밀 관련 법에 따라 사안별로 판단되어야 하며, 따라서 처벌될 수 있습니다. 물론 처벌이 안 될 수도 있고요. 영업 비밀을 가지고 개인적인 이익이나 경쟁에서의 우위를 점하려는 목적을 추구했다면 처벌이 되겠지요. 부당한 공개 역시 처벌의 대상이 됩니다.” 개인정보 역시 조심해야 한다. “영업 비밀이 아닌 개인정보의 경우에도 여전히 처벌이 가능합니다.”
영업 비밀도 아니고 개인정보도 아닌 일반 데이터의 경우 처벌되지 않을 가능성이 높다. 이런 일반 데이터와 관련하여 불법 행위를 입증할 방법이 많지 않기 때문이다. 불법적인 공개나 부당한 유통에 해당되지 않고, 사적인 이득 추구에도 해당되지 않는다.
최근 미국에서 있었던 보안 연구자 고소 사건
최근 미국의 오하이오 주 콜럼버스 시는 내부 고발자인 데이비드 르로이 로스(David Leroy Ross)에 대한 고소를 취하하고 합의에 이르렀다. 로스는 콜럼버스 시가 사이버 공격을 받아 주민들의 개인정보를 잃었다는 것을 언론에 알렸고, 이 때문에 콜럼버스 시 측의 고소를 당했었다. 공격은 7월 18일에 있었고, 공격자들은 시의 IT 인프라를 교란시켜 랜섬웨어를 설치하려 했다.
[이미지 = gettyimagesbank]
이 사건의 배후에는 라이시다(Rhysida)라는 악명 높은 랜섬웨어 조직이 있는 것으로 밝혀졌다. 이들은 이 사건을 통해 시민들의 이름, 생년월일, 주소, 은행 계좌 정보, 운전면허증, 사회 보장 번호 등 개인 식별 정보를 가져가는 데 성공했다. 라이시다는 이 정보를 다크웹에 게시했는데, 아마도 시 측에서 이들과의 거래를 거부한 것으로 추정된다. 피해를 입은 시민은 50만 명이었고, 시는 피해자들에게 알림 메일을 내보냈다.
그러면서 콜럼버스 시는 외부 사이버 보안 전문가를 고용해 시스템 복구와 대비, 보안 강화 작업을 실시했고, 유관 기관에 사건을 통보하는 등 일반적인 조치를 취했다. 그 외부 보안 전문가 중에 로스가 있었다. 그리고 8월, 데이터 유출에 관해 외부에 알리는 것을 금했는데 로스가 이를 어겼다며 콜롬버스 시는 2만 5천 달러의 손해배상을 요구했었다.
이 사실이 알려지자 보안 커뮤니티에서는 난리가 났다. 그러면서 시측 법무 담당자에게 다음과 같은 서신을 보내기도 했다.
존경하는 변호사님께
아래 서명한 정보 보안 전문가들은 데이비드 로스 씨를 대상으로 제기된 민사 소송에 대한 우려를 표명하고자 이 편지를 씁니다. 이번 소송은 그가 라이시다 랜섬웨어 조직에 의해 도난당한 데이터를 유포한 혐의로 처벌하려는 목적을 띠고 있습니다. 이는 잘못된 판단이며, 콜럼버스 시민들이 이번 랜섬웨어 공격으로 인해 지속적으로 받게 될 위험으로부터 스스로를 보호할 수 있는 중요한 정보를 얻지 못하게 할 수 있습니다.
콜럼버스 시는 도난당한 데이터가 여전히 접근 가능한 상태에 있다는 사실과, 랜섬웨어 공격이 시민들에게 미칠 영향을 잘못 판단했습니다. 로스 씨의 공개가 없었다면, 피해를 입은 시민들은 여전히 자신의 개인정보가 안전하다는 잘못된 믿음 속에서 살아가며, 자신을 보호하기 위한 추가 조치를 필요 없다고 여겼을 겁니다. 이번 사건에서 실제 범죄자는 라이시다라는 이름을 쓰는 랜섬웨어 조직입니다.
(중략)
이 서문에 서명한 전문가들의 의견으로는, 라이시다가 탈취해 게시한 정보에 접근하기 위해 특별한 컴퓨터 기술이나 전문성이 필요하지 않습니다. 무료로 제공되는 토르 브라우저를 사용해 토르 네트워크에 접근할 수 있습니다. 토르 브라우는 범죄용도 아니고 따라서 비공개 소프트웨어도 아닙니다. 랜섬웨어 범죄자들이 공개한 데이터에 쉽게 접근할 수 있다는 사실은 다양한 연령대와 기술 수준을 가진 사람들, 심지어 어린이들에 의해 수없이 입증되었습니다. 로스 씨는 선의의 보안 연구 활동에 참여했습니다.
도난당한 데이터가 쉽게 접근 가능한 플랫폼에 존재한다는 사실은 콜럼버스 시민들이 여전히 위험에 노출되어 있음을 의미합니다. 로스 씨에 대한 기소를 철회함으로써 콜럼버스 시는 이러한 위험을 완화하고, 데이터 유출의 실제 성격에 대해 시민들에게 알리며, 시의 정보 보안 태세를 강화하기 위한 적극적인 조치를 취할 기회를 가질 수 있습니다. 로스 씨가 공공을 보호하기 위해 취한 행동을 처벌하는 것은 실질적인 문제를 흐리게 하고 라이시다가 초래한 위협을 해결하는 데 필요한 자원을 낭비하는 결과를 초래할 뿐입니다.
저희는 이번 소송을 재고하시고, 선의로 행동하는 이들을 처벌하기보다는 투명성과 공공 안전을 우선시할 것을 촉구합니다. 공공을 보호하는 것은 최우선 과제이며, 이는 데이터 유출의 범위를 인정하고 시민들이 개인 정보를 안전하게 보호할 수 있도록 구체적인 조치를 취함으로써 달성될 수 있습니다.
이 사건은 취약점 연구와는 성격이 다르다. 하지만 공공을 위해서 보안 전문가가 불법적 행위를 감행했다는 것에서는 본질적으로 같은 맥락에 있다. 보안 전문가 로스는 랜섬웨어 사건을 대중들에게 알려야 각자가 스스로를 보호할 수 있다고 여겨 정보를 누설했고, 이 때문에 고발을 당했다. 그의 의도와 상관없이 ‘정보 누설은 불법’이라는 원칙이 고수됐다면 그는 상당히 엄중한 벌을 받았을 가능성이 높다. 이 때문에 보안 전문가의 ‘의도’가 행위 그 자체보다 더 중요하다는 이야기가 나오고 있고 독일을 비롯해 여러 나라에서 이를 반영하기 위한 제도를 마련하는 중인 것이다.
다만 보안 전문가의 의도라는 것을 어떻게 판단하고 증명할 것인지가 난제로 남아있다. 독일에서 마련되는 법안이 이 난제를 푸는 실마리가 될 지도 모르겠다.
[국제부 문가용 기자(globoan@boannews.com)]
<저작권자: 보안뉴스(www.boannews.com) 무단전재-재배포금지>
.jpg)
.jpg)
.jpg){kind=small}
.jpg){kind=small}
.jpg){kind=small}
.jpg){kind=small}
.jpg){kind=small}
.JPG){kind=small}
.jpg){kind=small}
.jpg){kind=small}
.jpg){kind=small}
.jpg){kind=small}
.jpg){kind=small}
.jpg){kind=small}
.jpg){kind=small}
.jpg){kind=small}
.jpg){kind=small}
.jpg){kind=small}
