부다페스트 대중교통 웹사이트에 승차권 가격 마음대로 바꾸는 버그 발견돼
헝가리, 버그 제보한 18세 청년을 ‘사이버 공격자’라 칭하고 체포해 논란

[보안뉴스 오다인 기자] 헝가리가 대중교통 웹사이트의 버그를 찾아 보고한 10대 청년을 포상하지는 못할망정 체포해 전 세계 화이트 햇 해커들의 분노를 사고 있다. 화이트 햇 해커를 여느 범죄자처럼 취급하는 행태가 여전히 뿌리 깊다는 사실이 드러나게 됐다.


헝가리의 한 18세 청년은 부다페스트의 대중교통 관할기관 ‘Budapesti Közlekedési Központ (BKK)’가 운영하는 사이트에서 버그를 찾아 당국에 보고했다. 이 청년은 사이트의 승차권 판매 페이지에서 버그를 발견했는데, 브라우저 개발자 툴을 사용해 소스 코드 내의 승차권 가격을 바꿀 수 있다는 사실을 알아냈다. 청년은 35달러짜리 승차권을 0.25달러에 주문해봤는데 성공했다. 이후 청년은 BKK에 연락해 이 같은 사실을 알렸다.

누군가 가격을 마음대로 바꿔 승차권을 끊을 수 있었던 것은 BKK 시스템이 클라이언트나 서버 중에 어디에도 확인 절차를 갖추고 있지 않았기 때문이었다. 간단히 말해, 공공기관이 소유한 웹사이트라는 점을 생각해봤을 때, 코드가 너무 형편없이 작성됐다는 뜻이다. 해외 기술 전문 매체 테크스폿(Techspot)은 이런 취약점을 지적하면서 “(청년이) 사실상 해킹을 한 것도 아니”라고 분석했다.

그러나 헝가리 정부당국은 코드를 고칠 생각은 않고 버그를 제보한 청년을 체포했다. 청년이 BKK의 시스템을 해킹했다고 경찰에 알린 것이다. 테크스폿의 보도에 따르면, 경찰은 한밤중에 청년의 집에 들이닥쳐 그를 체포했다. 청년이 버그를 확인할 때 주문한 승차권을 실제로 사용하거나 수령한 적도 없는 데 말이다. 체포한 것에서 나아가 BKK는 기자회견을 열어, 당 기관이 사이버 공격을 어떻게 좌절시켰는지 자랑까지 한 것으로 알려졌다.

보안 취약점을 제보한 화이트 햇 해커가 헝가리 정부당국에 의해 체포됐다는 사실이 알려지면서 전 세계 화이트 햇 해커들은 분노하는 중이다. 심지어 시위를 조직해야 한다는 의견도 나오는 상황이다. 이들은 트위터를 통해, “BKK는 화이트 햇 해커의 제보를 ‘사이버 공격’이라고 경찰에 밀고한 덕분에 망신스런 웹사이트에 대해 온갖 언론의 주목을 받게 됐다”(@mysty)라든지 “(승차권) 가격 버그를 제보한 사람이 체포돼 경찰의 심문을 받고 있는데, 오늘 밤 시위가 열릴 것이다”(@gheja_)와 같은 내용을 올리는 중이다.

수천 명의 화이트 햇 해커들은 BKK의 페이스북 페이지를 방문해 가장 낮은 평점을 매기기도 했다. 현재 47,000명이 최저점에 해당하는 별 하나를 준 상태로, 최고점인 별 다섯 개를 준 사람이 351명인 것과 극명한 대조를 이룬다. 여기에다 화이트 햇 해커들은 BKK 웹사이트를 꼼꼼하게 검사해 여러 가지 보안 취약점들을 찾아내기 시작했다. 이에 BKK 웹사이트는 현재 폐쇄된 상태다.

테크스폿은 화이트 햇 해커들을 지키기 위해 사이버 보안에도 착한 사마리아인 법이 적용돼야 한다고 제안했다. 누군가의 목숨을 구하기 위해 애쓴 사람을 소송이나 고발로부터 막아주는 착안 사마리아인 법이 있듯이, 사이버 세계에서도 이런 사람들을 보호하기 위해 비슷한 법안을 제정하고 시행해야 한다는 것이다.
[국제부 오다인 기자(boan2@boannews.com)]

<저작권자: 보안뉴스(www.boannews.com) 무단전재-재배포금지>