네트워크 접근만 해도 처벌하는 환경에서 무슨 화이트해커!

해커가 우연이든 의도적이든 취약점을 발견하게 된다면 어떤 조치를 취해야할까?

1번) 해당업체에 취약점을 알리고 취약점을 보완하도록 한다.

2번) 그냥 묵인하면서 감춰둔다.

3번) 취약점을 악용한다.

대부분의 해커는 1번) 해당업체에 취약점을 알리고 이를 보완하도록 하고자하는 욕구가 넘칠 것이다.

 

해커는 보다 전문성을 가지고 이를 연구하는데 심취한 사람들을 일컬어 부르기 때문이다. 아울러 3번처럼 이를 악용하려 한다면 그는 해커라기 보다 윤리성을 상실한 크래커라고 볼 수 있기 때문이다.

그러나 우리나라의 대부분의 해커는 1번을 선택할 수 없다. 그 이유는, 어떠한 이유에서든 허가 없이 네트워크나 시스템에 접근하면 범죄자로 몰리는 국내 실정 때문이다.

 

일단 법에서 이를 제한하고 있다. 정보통신망법 제48조(정보통신망 침해행위 등의 금지) 1항에 따르면 ‘누구든지 정당한 접근권한 없이 또는 허용된 접근권한을 넘어 정보통신망에 침입하여서는 아니 된다.’라고 나와 있다. 그리고 이를 어길 경우 벌칙 조항으로 3년 이하의 징역 또는 3천만 원 이하의 벌금에 처한다고 명시돼 있다. 그뿐 아니다. 2항에 보면 미수범도 처벌한다는 규정도 포함돼 있다.

만약 해커들은 취약점에 노출된 네트워크를 발견했다 해도 이런 문제점을 아무한테도 이야기할 수 없다. 법에 따르면, 미수범도 처벌하기 때문에 취약점이 나타나고 접근 자체를 시도해서도 안 되고, 취약점의 가능성을 제기해서도 안 된다.

물론 서비스제공자의 의무도 법에 명시돼 있다. 그러나 벌칙 조항만 살펴봐도 1년 이하의 징역 또는 1천만 원 이하의 벌금으로 비교적 가벼운데다가 법에서 정한 기술적 조치만 이행해도 책임을 면할 수 있다.

정부는 인터넷 역기능으로 인한 사이버침해가 늘자 화이트해커를 양성해야한다고 주장하고 있다. 그러나 이런 법적 환경에서 화이트해커는 큰 의미가 없다. 만약 해커가 취약점을 발견해도 문제제기를 할 수도 없기 때문이다.

물론 화이트해커를 양성해 보안전문가로 등용하려 한다는 주장도 있지만, 이 또한 현실에 맞지 않는 이야기다. 우선 우리나라는 보안에 대한 투자가 인색하기 때문에 전문 인력에 걸맞은 대우가 부족한데다가, 보안관련 직종은 대부분 보안관제에 머물고 있어 해커들이 보유한 기술을 활용할만한 환경이 아니다.

그렇다면 우리에게 어떤 변화가 필요할까? 일단 법에서 기업의 보안책임을 회피할 수 있게 하는 사각지대를 서둘러 수정해야한다. 특히 현행법은 정해진 기술을 도입한 것만으로 책임을 회피할 수 있지만 화이트해커가 취약점을 파악해 전달하면 오히려 처벌 받게 돼 있다. 따라서 해커가 네트워크나 시스템에 피해를 입히지 않고 취약점을 전달했을 경우 면책 조항도 필요하다. 물론 국가 중요 시설과 같은 곳은 예외로 해야 할 테지만 말이다. 이런 부분이 수정된다면 해커와 기업이 악어와 악어새와 같은 순환구조를 이룰 수 있지 않을까 생각해본다.

[오병민 기자(boan4@boannews.com)]

<저작권자: 보안뉴스(http://www.boannews.com/) 무단전재-재배포금지>