취약점 공개·보안 개선 위한 연구만 보호 대상
독일·미국 이어 윤리적 해킹 보호 입법 확산

[보안뉴스 김형근 기자] 포르투갈 정부가 최근 사이버범죄법을 개정해 공익 목적의 보안 연구에 대해 법적 면책 조항을 신설했다.

개정안은 불법 시스템 접근이나 불법 데이터 가로채기로 분류될 수 있었던 행위에 대한 법적 면책을 제공한다.


[자료: gettyimagesbank]

이 조항은 ‘사이버 보안의 공익을 위한 처벌받지 않는 행위’라는 이름의 제8.o-A조 항목에 추가됐다. 새로운 조항은 보안 연구의 한계를 명확히 정의함과 동시에 ‘선의의 해커’에게 법적 보호를 제공한다.

면책이 적용되는 핵심 조건은 보안 연구자가 오직 취약점 식별 및 사이버 보안 개선에 기여할 목적으로만 행동해야 한다는 것이다.

형사 책임을 면제받기 위해서는 엄격한 조건들을 충족해야 한다. 연구는 연구자 자신이 만들지 않은 취약점을 식별하고 공개를 통해 보안을 개선하는 것을 목표로 해야 한다.

또 연구자는 정상적 전문적 보상을 초과하는 경제적 이익을 추구하거나 받아서는 안 된다. 발견된 취약점은 시스템 소유자, 관련 데이터 관리자, 국가 사이버보안 센터(CNCS)에 즉시 보고돼야 한다. 연구 행위는 취약점 탐지에 필요한 범위로 엄격히 제한되며, 서비스 중단, 데이터 변경 또는 삭제, 손해 유발을 일으켜서는 안 된다.

아울러 연구는 유럽 연합(EU) 일반데이터보호규정(GDPR)에 따른 개인 데이터의 불법 처리를 수반해서는 안 된다. DoS/DDoS 공격, 사회 공학, 피싱, 악성코드 배포 등 금지된 기술의 사용 또한 허용되지 않는다.

연구 과정에서 얻은 모든 데이터는 기밀로 유지돼야 하며, 취약점이 수정된 후 10일 이내에 삭제돼야 한다.

이에 앞서 지난해 11월 독일이 유사한 보호 법안을 도입했으며, 2022년 5월엔 미국 법무부도 미국 연방 컴퓨터 사기 및 남용방지법(CFAA) 위반에 대한 기소 정책을 개정해 ‘선의의 해커’에 대한 면책 조항을 추가한 바 있다.

[김형근 기자(editor@boannews.com)]

<저작권자: 보안뉴스(www.boannews.com) 무단전재-재배포금지>