육군 예하부대 홈페이지 취약점 제보로 촉발된 논쟁, 가열 양상
정보통신망법상 불법 행위 vs 국가기관 보안성 위한 공익 활동
외국처럼 버그바운티 상시 운영해 보안성 높이자는 의견도 나와
[보안뉴스 오다인 기자] 해커의 세계에서 선과 악은 흔히 ‘화이트 햇’과 ‘블랙 햇’으로 비유된다. 미국 서부극에서 악당이 까만 모자를 쓰고 영웅이 흰 모자를 쓴 데서 유래했다. 선의의 해커는 화이트 햇 해커, 악의를 가진 해커는 블랙 햇 해커라고 부르는 식이다.
[이미지=iclickart]
이러한 선과 악의 구분은 때로 매우 어려워지기도 한다. 취약점 제보가 그 대표적인 경우다. 정보통신망 이용촉진 및 정보보호 등에 관한 법률 제48조 ‘정보통신망 침해행위 등의 금지’에 따르면 “누구든지 정당한 접근권한 없이 또는 허용된 접근권한을 넘어 정보통신망에 침입하여서는 아니” 되고(제1항), “누구든지 정당한 사유 없이 정보통신시스템, 데이터 또는 프로그램 등을 훼손·멸실·변경·위조하거나 그 운용을 방해할 수 있는 프로그램을 전달 또는 유포하여서는 아니 된다(제2항).”
이때 ‘정당한 접근권한’이나 ‘정당한 사유’ 없이 취약성을 점검한 행위는 모두 불법이다. 동법 제72조 ‘벌칙’은 “제48조제1항을 위반하여 정보통신망에 침입한 자”에 대해 “3년 이하의 징역 또는 3천만원 이하의 벌금에 처한다”고 명시하고 있다.
그러나 최근 육군 예하부대 홈페이지에서 취약점을 발견하고 제보한 사례가 언론을 통해 보도되면서, 이 같은 행위를 불법으로 단죄해야 하는지에 대해 논란이 가열되고 있다. 제보자 측은 주요 국가기관의 보안성 강화라는 공익과 대의를 주장하는 한편, 객관적으로 증명될 수 없는 선의를 근거로 명백하게 불법한 행위를 저질렀다는 입장이 맞서고 있다. 본지는 양측 입장과 함께 주요 관계자 의견을 듣고 취약점 제보에 대한 개선방향을 모색해 봤다.
“명백한 불법 행위” vs “불법이지만 매우 중대한 사안이라 제보”
이번 사건은 국내 모 대학 보안 전공자가 육군 예하부대 홈페이지의 취약성을 점검한 데서부터 시작됐다. 그는 취약점을 발견한 뒤 지난 24일 오전 2시 한국인터넷진흥원(KISA) 인터넷침해사고대응지원센터(KrCERT)에 제보했다. 취약성 점검 자체에 불법 소지가 있었고 법적 추궁의 우려가 있었으나, 취약점이 발견된 소프트웨어가 육군뿐만 아니라 금융권에서도 쓰이는 등 사안이 매우 중대하다고 판단했기 때문이다.
이어 제보자는 국내 모 언론사에도 관련 사실을 알렸다. 언론에 제보한 데 대해 그는 “공식적으로 처벌이 명시된 상황에서 취약점을 제보하는 것이 두려웠고 이에 대한 부담을 제보자가 온전히 져야 한다는 사실이 부담스러웠다”면서 “사회적인 지지와 공익적인 보호를 받기 위해 언론에도 알렸다”고 설명했다.
KrCERT ‘SW 신규 취약점 신고포상제’의 주의사항에는 “실제 서비스 중인 웹사이트나 시스템(서버, 네트워크, 보안장비 등)에 특정 데이터를 전송하여 영향을 줄 우려가 있는 서비스 취약점은 평가 및 포상 대상에서 제외됨은 물론, 법에 의해 처벌 받을 수 있다”고 규정하고 있다.
제보자는 언론에 알린 당시 기자에게 법적인 문제에 대해 고지했다고 설명했다. 이에 언론사 차원에서 법률적인 검토가 진행됐다고 덧붙였다. 제보자는 “기사 보도 전 취약점이 조치될 수 있도록 해당 기관에 고지했으며 기사 보도 후에 즉각적인 조치가 이뤄졌다”고 짚었다.
제보자와 함께 당시 언론 인터뷰에 응했던 KTB솔루션 김태봉 대표도 “원칙적으로는 다 불법이지만 목적이 중요하다”고 강조했다. 김 대표는 “사익이 아닌 공익적인 목적에서 행한 일을 불법이라고 처벌할 순 없다”면서 “군의 보안 인력 및 예산 부족으로 인한 취약성 문제가 이번 사건의 핵심 원인”이라고 지적했다.
그러나 이 같은 선의의 목적은 객관적으로 증명될 수 없다는 입장이 맞서고 있다. 한국인터넷진흥원 박문범 책임연구원은 “문제의 초점은 제보된 취약점이 처리됐는지 여부에 둘 것이 아니”라고 선을 그었다. 그는 제보자의 취약성 점검이 “현행법을 명백하게 위반한 행위”라면서 “서비스 운영자 입장에선 제보자의 선의를 보장받을 수 없다”고 말했다.
선의의 목적에서 취약성을 점검했다 하더라도, 취약점을 찾는 선에서 행위가 끝난 것인지 기타 이상행위도 벌인 것인지 확인할 길이 없다는 것. 박문범 책임연구원은 “바로 이런 이유에서 정보통신망법이 보수적으로 규정돼 있는 것”이라고 설명했다. 그는 “선의의 목적이 객관적으로 증명될 수 없으며 그 행위가 어디까지 전개됐는지도 객관적으로 확인할 수 없기 때문에 법적으로 이 같은 행위를 금지하는 것이 타당하다”고 밝혔다.
정보보안 윤리를 강조해온 세명컴퓨터고등학교 스마트보안솔루션부 이대희 부장도 “소프트웨어의 원래 목적과 무관한 행위나 시도는 법적으로 문제가 된다”면서 “학생들을 교육할 때 정해진 범위 내에서만 연습하라고 가르친다”고 말했다. 그는 “보안 테스트를 해보고 싶으면 별도의 가상 서버에서만 해야 하고 상용 서버에서는 수행해서는 안 된다”고 덧붙였다.
불법 여부보다 국내 기관 및 기업의 저조한 보안 인식을 지적하는 전문가들도 있다. 익명을 요청한 A 보안전문가는 “절차상으로 허가를 득하지 않은 상태에서 이 같은 행위를 하면 안 되지만 취약점을 제보했을 때 호의로 대응하는 기관이나 기업이 거의 없다는 것도 문제”라고 지적했다. 그는 “취약점 제보를 받으면 버그바운티(Bug Bounty: 취약점 제보 포상 프로그램)처럼 포상하는 제도를 만든다든지 국가 차원에서 정책을 마련해야 한다”면서 “이번 사건에서 실제 피해가 발생한 사실이 없다면 명확하게 잘못이라고 보기엔 어렵다”고 말했다.
19년간 보안 분야에 종사해온 여동균 보안전문가는 우선 “취약점을 찾았다면 담당자에게 알리고 선조치가 끝난 뒤에 언론에 알려야 한다”고 말했다. 그는 급하게 언론에 알릴 경우 “잘 모르는 사람들이 언론 보도를 보고 따라할 위험이 있으며, 이로 인해 피해 보는 사람이 생길 수 있다”고 우려했다. 피해 확산을 막기 위해선 해당 취약점의 패치가 우선적으로 마무리된 다음에 사실 공개가 이뤄져야 한다는 것이다.
또한, 여동균 보안전문가는 “해커들이 이미 그러한 취약점을 알고 있는 상황에서 국가기관이나 기업이 대응을 안 한다면 해당 취약점은 계속돼서 악용될 수밖에 없다”고 말했다.
해외처럼 상시 버그바운티 운영도 검토해야
구글 크롬 등 해외 유수의 버그바운티에서 여러 차례 수상한 바 있는 네이버 한충우 보안 엔지니어는 “외국에서도 버그바운티를 시행하고 있지 않으면 보안 테스트를 하지 않는다”고 말했다. 그는 “한국에선 공격 시도 자체가 불법으로 규정돼 있고 취약점을 제보 받는 기업 측 반응도 부정적인 경우가 많기 때문에 국내보다 해외 기업에서 취약점을 주로 찾고 있다”고 밝혔다.
미국 국방부의 경우, 2016년 11월 출범시킨 취약점 공개 프로그램(VDP)을 통해 약 1년간 2,837개의 취약점을 발견하고 수정했다. VDP는 미 국방부가 운영 및 공개하는 웹사이트들에서 누구나 취약점을 찾아내고 제보하도록 마련한 프로그램으로, 버그바운티와 달리 포상금은 주어지지 않는다. 이 같은 성과에 대해 미 국방부는 “현금 보상이 없어도 보안전문가들이 국가 안보를 위해 자발적으로 전문성과 도움을 제공했다는 사실이 고무적”이라고 밝혔다.
현행법상 명백히 불법이라는 입장과 보안성 강화라는 공익 추구가 더 중요하다는 입장이 팽팽히 대립하는 현재, 국내 주요 정부기관에 대한 취약점 진단 및 제보를 위한 개선방안을 검토하고, 제보자 윤리 및 보호를 함께 논의해야 할 시점에 이른 것으로 보인다.
한편, 이번 사건과 관련해 육군은 “취약한 홈페이지가 3월 29일자로 수정됐다”고 밝혔다. 육군은 “해당 프로그램이 2008년에 도입된 버전으로 매년 업데이트와 유지관리가 이뤄졌으며 전체 취약점 분석 후 우선 조치를 검토하고 있다”고 설명했다.
[오다인 기자(boan2@boannews.com)]
정보통신망법상 불법 행위 vs 국가기관 보안성 위한 공익 활동
외국처럼 버그바운티 상시 운영해 보안성 높이자는 의견도 나와
[보안뉴스 오다인 기자] 해커의 세계에서 선과 악은 흔히 ‘화이트 햇’과 ‘블랙 햇’으로 비유된다. 미국 서부극에서 악당이 까만 모자를 쓰고 영웅이 흰 모자를 쓴 데서 유래했다. 선의의 해커는 화이트 햇 해커, 악의를 가진 해커는 블랙 햇 해커라고 부르는 식이다.
[이미지=iclickart]
이러한 선과 악의 구분은 때로 매우 어려워지기도 한다. 취약점 제보가 그 대표적인 경우다. 정보통신망 이용촉진 및 정보보호 등에 관한 법률 제48조 ‘정보통신망 침해행위 등의 금지’에 따르면 “누구든지 정당한 접근권한 없이 또는 허용된 접근권한을 넘어 정보통신망에 침입하여서는 아니” 되고(제1항), “누구든지 정당한 사유 없이 정보통신시스템, 데이터 또는 프로그램 등을 훼손·멸실·변경·위조하거나 그 운용을 방해할 수 있는 프로그램을 전달 또는 유포하여서는 아니 된다(제2항).”
이때 ‘정당한 접근권한’이나 ‘정당한 사유’ 없이 취약성을 점검한 행위는 모두 불법이다. 동법 제72조 ‘벌칙’은 “제48조제1항을 위반하여 정보통신망에 침입한 자”에 대해 “3년 이하의 징역 또는 3천만원 이하의 벌금에 처한다”고 명시하고 있다.
그러나 최근 육군 예하부대 홈페이지에서 취약점을 발견하고 제보한 사례가 언론을 통해 보도되면서, 이 같은 행위를 불법으로 단죄해야 하는지에 대해 논란이 가열되고 있다. 제보자 측은 주요 국가기관의 보안성 강화라는 공익과 대의를 주장하는 한편, 객관적으로 증명될 수 없는 선의를 근거로 명백하게 불법한 행위를 저질렀다는 입장이 맞서고 있다. 본지는 양측 입장과 함께 주요 관계자 의견을 듣고 취약점 제보에 대한 개선방향을 모색해 봤다.
“명백한 불법 행위” vs “불법이지만 매우 중대한 사안이라 제보”
이번 사건은 국내 모 대학 보안 전공자가 육군 예하부대 홈페이지의 취약성을 점검한 데서부터 시작됐다. 그는 취약점을 발견한 뒤 지난 24일 오전 2시 한국인터넷진흥원(KISA) 인터넷침해사고대응지원센터(KrCERT)에 제보했다. 취약성 점검 자체에 불법 소지가 있었고 법적 추궁의 우려가 있었으나, 취약점이 발견된 소프트웨어가 육군뿐만 아니라 금융권에서도 쓰이는 등 사안이 매우 중대하다고 판단했기 때문이다.
이어 제보자는 국내 모 언론사에도 관련 사실을 알렸다. 언론에 제보한 데 대해 그는 “공식적으로 처벌이 명시된 상황에서 취약점을 제보하는 것이 두려웠고 이에 대한 부담을 제보자가 온전히 져야 한다는 사실이 부담스러웠다”면서 “사회적인 지지와 공익적인 보호를 받기 위해 언론에도 알렸다”고 설명했다.
KrCERT ‘SW 신규 취약점 신고포상제’의 주의사항에는 “실제 서비스 중인 웹사이트나 시스템(서버, 네트워크, 보안장비 등)에 특정 데이터를 전송하여 영향을 줄 우려가 있는 서비스 취약점은 평가 및 포상 대상에서 제외됨은 물론, 법에 의해 처벌 받을 수 있다”고 규정하고 있다.
제보자는 언론에 알린 당시 기자에게 법적인 문제에 대해 고지했다고 설명했다. 이에 언론사 차원에서 법률적인 검토가 진행됐다고 덧붙였다. 제보자는 “기사 보도 전 취약점이 조치될 수 있도록 해당 기관에 고지했으며 기사 보도 후에 즉각적인 조치가 이뤄졌다”고 짚었다.
제보자와 함께 당시 언론 인터뷰에 응했던 KTB솔루션 김태봉 대표도 “원칙적으로는 다 불법이지만 목적이 중요하다”고 강조했다. 김 대표는 “사익이 아닌 공익적인 목적에서 행한 일을 불법이라고 처벌할 순 없다”면서 “군의 보안 인력 및 예산 부족으로 인한 취약성 문제가 이번 사건의 핵심 원인”이라고 지적했다.
그러나 이 같은 선의의 목적은 객관적으로 증명될 수 없다는 입장이 맞서고 있다. 한국인터넷진흥원 박문범 책임연구원은 “문제의 초점은 제보된 취약점이 처리됐는지 여부에 둘 것이 아니”라고 선을 그었다. 그는 제보자의 취약성 점검이 “현행법을 명백하게 위반한 행위”라면서 “서비스 운영자 입장에선 제보자의 선의를 보장받을 수 없다”고 말했다.
선의의 목적에서 취약성을 점검했다 하더라도, 취약점을 찾는 선에서 행위가 끝난 것인지 기타 이상행위도 벌인 것인지 확인할 길이 없다는 것. 박문범 책임연구원은 “바로 이런 이유에서 정보통신망법이 보수적으로 규정돼 있는 것”이라고 설명했다. 그는 “선의의 목적이 객관적으로 증명될 수 없으며 그 행위가 어디까지 전개됐는지도 객관적으로 확인할 수 없기 때문에 법적으로 이 같은 행위를 금지하는 것이 타당하다”고 밝혔다.
정보보안 윤리를 강조해온 세명컴퓨터고등학교 스마트보안솔루션부 이대희 부장도 “소프트웨어의 원래 목적과 무관한 행위나 시도는 법적으로 문제가 된다”면서 “학생들을 교육할 때 정해진 범위 내에서만 연습하라고 가르친다”고 말했다. 그는 “보안 테스트를 해보고 싶으면 별도의 가상 서버에서만 해야 하고 상용 서버에서는 수행해서는 안 된다”고 덧붙였다.
불법 여부보다 국내 기관 및 기업의 저조한 보안 인식을 지적하는 전문가들도 있다. 익명을 요청한 A 보안전문가는 “절차상으로 허가를 득하지 않은 상태에서 이 같은 행위를 하면 안 되지만 취약점을 제보했을 때 호의로 대응하는 기관이나 기업이 거의 없다는 것도 문제”라고 지적했다. 그는 “취약점 제보를 받으면 버그바운티(Bug Bounty: 취약점 제보 포상 프로그램)처럼 포상하는 제도를 만든다든지 국가 차원에서 정책을 마련해야 한다”면서 “이번 사건에서 실제 피해가 발생한 사실이 없다면 명확하게 잘못이라고 보기엔 어렵다”고 말했다.
19년간 보안 분야에 종사해온 여동균 보안전문가는 우선 “취약점을 찾았다면 담당자에게 알리고 선조치가 끝난 뒤에 언론에 알려야 한다”고 말했다. 그는 급하게 언론에 알릴 경우 “잘 모르는 사람들이 언론 보도를 보고 따라할 위험이 있으며, 이로 인해 피해 보는 사람이 생길 수 있다”고 우려했다. 피해 확산을 막기 위해선 해당 취약점의 패치가 우선적으로 마무리된 다음에 사실 공개가 이뤄져야 한다는 것이다.
또한, 여동균 보안전문가는 “해커들이 이미 그러한 취약점을 알고 있는 상황에서 국가기관이나 기업이 대응을 안 한다면 해당 취약점은 계속돼서 악용될 수밖에 없다”고 말했다.
해외처럼 상시 버그바운티 운영도 검토해야
구글 크롬 등 해외 유수의 버그바운티에서 여러 차례 수상한 바 있는 네이버 한충우 보안 엔지니어는 “외국에서도 버그바운티를 시행하고 있지 않으면 보안 테스트를 하지 않는다”고 말했다. 그는 “한국에선 공격 시도 자체가 불법으로 규정돼 있고 취약점을 제보 받는 기업 측 반응도 부정적인 경우가 많기 때문에 국내보다 해외 기업에서 취약점을 주로 찾고 있다”고 밝혔다.
미국 국방부의 경우, 2016년 11월 출범시킨 취약점 공개 프로그램(VDP)을 통해 약 1년간 2,837개의 취약점을 발견하고 수정했다. VDP는 미 국방부가 운영 및 공개하는 웹사이트들에서 누구나 취약점을 찾아내고 제보하도록 마련한 프로그램으로, 버그바운티와 달리 포상금은 주어지지 않는다. 이 같은 성과에 대해 미 국방부는 “현금 보상이 없어도 보안전문가들이 국가 안보를 위해 자발적으로 전문성과 도움을 제공했다는 사실이 고무적”이라고 밝혔다.
현행법상 명백히 불법이라는 입장과 보안성 강화라는 공익 추구가 더 중요하다는 입장이 팽팽히 대립하는 현재, 국내 주요 정부기관에 대한 취약점 진단 및 제보를 위한 개선방안을 검토하고, 제보자 윤리 및 보호를 함께 논의해야 할 시점에 이른 것으로 보인다.
한편, 이번 사건과 관련해 육군은 “취약한 홈페이지가 3월 29일자로 수정됐다”고 밝혔다. 육군은 “해당 프로그램이 2008년에 도입된 버전으로 매년 업데이트와 유지관리가 이뤄졌으며 전체 취약점 분석 후 우선 조치를 검토하고 있다”고 설명했다.
[오다인 기자(boan2@boannews.com)]
<저작권자: 보안뉴스(www.boannews.com) 무단전재-재배포금지>
.jpg)
.jpg)
.jpg){kind=small}
.jpg){kind=small}
.jpg){kind=small}
.jpg){kind=small}
.JPG){kind=small}
.jpg){kind=small}
.jpg){kind=small}
.jpg){kind=small}
.jpg){kind=small}
.jpg){kind=small}
.jpg){kind=small}
.jpg){kind=small}
.jpg){kind=small}
.jpg){kind=small}
.jpg){kind=small}
.jpg){kind=small}
