• Korea Council of Chief Information Security Officers
      회원안내      

자료실

  • HOME
  • 자료실
  • 보안 제품정보

자료실

보안 제품정보

‘공공의 이익 위한 불법해킹’ 논란 뜨겁다 2007.04.30

이영순 의원 불기속 기소에 ‘화이트 해킹’ 처벌 논란 가속


이영순 민주노동당 의원이 보좌관에 해킹을 지시했다는 혐의로 불구속 기소된 것과 관련, 공공의 이익을 위한 불법적인 해킹이 용인돼야 하는지에 대한 논란이 뜨겁다.


시스템의 취약성을 발견해 이를 시정하기 위한 목적으로 행해지는 ‘화이트 해킹’은 용인돼야 한다는 주장과 화이트 해킹이라 해도 현행법에 어긋난다면 처벌을 받아야 한다는 주장이다.


이영순 “삼성SDS 부터 수사하라”


이영순 의원은 지난 2005년 10월 국회의 행정자치부 국정감사에서 ‘시·군·구 정보화 공통기반 시스템 구축사업’에 구축된 삼성SDS의 상용 소프트웨어 보안상 문제점을 지적하며 경기도 파주시청의 해킹과정을 담은 동영상을 공개했다.


서울중앙지검 형사3부(부장검사 조주태)는 30일 이영순 의원이 보좌관에게 국가기관의 통신망을 해킹하라고 지시했다는 혐의로 불구속 기소했다고 밝혔다.


검찰에 따르면 이 의원은 당시 행자부가 준비하고 있던 전산망 프로그램에 문제가 있다는 의혹을 밝혀내기 위해 보좌관 임모 씨에게 전산망을 해킹하도록 지시한 혐의를 받고 있다.


임 씨는 중소 정보기술업체 직원 2명에게 “삼성SDS가 만든 전산망 로그인 프로그램을 시험가동하고 있는 경기도 파주시에서 정보를 입수해 오라”고 부탁한 것으로 전해지고 있다.


부탁을 받은 업체 직원들은 자신의 노트북 컴퓨터로 파주시 전산망을 무단 접속, 해킹했으며, 이영순 의원은 해킹 과정을 담은 동영상 자료를 공개하며 시스템의 SW의 취약성을 공개했다.


임 씨와 업체직원 2명은 불법적인 자료확보 혐의로 지난해 7월 기소됐으며, 2심에서 벌금 300만원을 선고받았다. 이 의원은 검찰의 출석요구에 응하지 않고 “해킹을 지시한 바 없다”는 취지의 서면진술서를 제출해왔다.


그러나 검찰은 임 전 보좌관이 이영순 의원의 지시를 따랐다고 진술했으며, 국감 전에 해당 프로그램의 기술적인 문제점을 구체적으로 지적한 보도자료가 이 의원실 명의로 배포된 점 등을 볼 때 이 의원이 해킹을 지시했으며, 면책대상에 해당하지 않는 것으로 판단해 기소했다고 설명했다.


“공적인 목적이라도 현행법 위반은 처벌”


검찰의 기소 방침에 이 의원은 즉각 반박성명을 내고 “삼성SDS의 상용 SW에 기술적인 결함이 있음에도 불구하고 행자부의 ‘시·군·구 정보화 공동기반 시스템 구축 사업’ 상용 SW 납품업자 선정이 됐다. 그 과정에서 엄청난 특혜가 있다고 이미 수차례 밝혀왔다”고 주장했다.


이 의원은 “국정감사를 앞두고 행자부에 이 제품을 테스트해 달라고 요구했으나 행자부는 이를 기피하고 계약체결을 강행했다”며 “검찰은 문제가 있었던 삼성SDS부터 수사하라”고 요구했다.


이 의원은 30일 한 라디오 방송에 출연해서도 이 주장을 거듭하며 “해킹을 지시한 바 없다. 또한 해킹 의도가 공적 목적이므로 의정활동의 일환으로 봐야 한다. 개인정보 해킹이 목적이 아니라 제품의 보안상 문제를 점검하는 차원”이라고 해명했다.


정치권은 물론이고 정보보호 업계 내부에서도 취지의 정당성은 이해하지만 불법적인 해킹은 현행법에 어긋나는 것이므로 방법이 잘못된 것이라는 지적이 높다.


염흥열 정보통신연구진흥원 전문위원은 “현재 우리나라 법으로는 네트워크를 돌아다니면서 취약성을 살펴보는 스캔공격도 불법활동에 속한다”며 “공적인 목적이라 해도 해킹을 하고자 했다면 합법적인 방법으로 해야 했다”고 밝혔다.


염 전문위원은 “공개 해킹에 대해 실효성 등의 문제가 제시되고 있지만, 공개적으로 해킹을 시연하는 과정에서 보안책임자 등의 인식을 새롭게 하고 공격에 대비할 수 있는 대책을 세울 수 있는 기회가 되는 것은 사실”이라고 말했다.


송호창 민주사회를위한변호사모임 사무처장 역시 “이영순 의원이 직접 해킹을 지시했다면 면책특권 대상이 아니다”며 “공공의 목적을 위한 해킹이었다는 사실이 정상참작은 되겠지만 처벌은 불가피하다”고 말했다.


송 변호사는 그러나 “만일 이 의원의 지시가 아니라 보좌관이 임의로 시행한 것이라면 보좌관에 대한 처벌로 끝나는 것이 맞다”고 말했다.


그러나 이영순 의원 측은 “국감 현장에서 시스템 해킹 시연 사례는 많다. 이 의원만 문제삼는 것은 형평성에 어긋난다”며 “공적인 목적을 갖고 한 일을 문제 삼을 수 없다”고 반박하고 있다.


이 의원 측은 “2005년 한 여당 의원도 주민등록등본 발급기의 문제를 지적하며 현장에서 해킹을 통해 주민등록 등본 발급을 시연 한 바 있다. 이 의원의 경우만 무제 삼는 것은 진보정당에 대한 탄압”이라며 “이 의원은 그동안 지속적으로 삼성SDS의 SW 문제점을 지적해 왔지만 그것이 받아들여지지 않았기 때문에 기술적인 결함을 지적한 것”이라고 주장했다.

[김선애 기자(boan1@boannews.co.kr)]


<저작권자: 보안뉴스(www.boannews.com) 무단전재-재배포금지>