모든 미승인 접근은 불법...5천 달러 벌금 혹은 1년 징역
전자프런티어재단, 주지사 만나 거부권 행사하려 움직이기 시작

[보안뉴스 문가용 기자] 지난 주 한국에서는 육군 예하부대 홈페이지의 취약점 제보로 보안 취약점 제보의 합법성에 대한 논란에 불이 붙은 바 있다. 관련된 내용은 본지 기사인 ‘보안 취약점 제보의 불법 vs 공익 논쟁, 또 다시 불붙다’를 통해 상세히 확인할 수 있다.


미국에서도 비슷한 일이 있었다. 조지아 주의 의회에서 컴퓨터 시스템에 대한 모든 형태의 미승인 접근을 불법으로 규정하는 법안이 통과한 것이다. 이 때문에 보안 취약점 연구 및 제보가 모두 ‘범죄 행위’로 변모할 수 있게 되었다.

“접근 권한이 자기에게 없음을 알고도 의도적으로 컴퓨터나 컴퓨터 네트워크에 접근한 모든 사람은 유죄 판결을 받을 것”이라고 법안은 정의하고 있다(상원 법안 315). 또한 이러한 행위를 해서 유죄 판결을 받은 사람은 최대 5천 달러의 벌금형을 받거나 1년 미만의 징역형을 받을 수 있다.

당연히 반발이 만만치 않게 일고 있다. 법안 내용이 공개되면서부터 사이버 보안 업계는 크게 반대하고 나섰으며, “악의적인 의도를 가지고 있는 미승인 접근만 범죄로 치부하라”고 요구하고 있다. 원 법안에는 ‘애플리케이션이나 데이터를 조작하거나 손상하는 등의 나쁜 의도가 있는 미승인 접근만’ 범죄 행위로 간주하겠다고 나와 있었다.

보안 전문가들이 가장 큰 문제로 삼고 있는 건 취약점을 찾아내고 책임감 있게 공개하는 보안 전문가들의 연구 행위에 대한 보호 장치가 하나도 없다는 것이다.

그래서 이 법안이 한 보안 전문가가 작년 케네소주립대학(Kennesaw State University)의 투표 시스템에서 취약점을 발견했기 때문에 만들어졌다는 의혹도 일고 있다. 당시 전문가는 FBI의 조사를 받기도 했다. 물론 해당 전문가는 취약점을 책임감 있게 공개했고, FBI의 조사도 아무 일 없이 마쳤다.

하지만 유출 사고 자체는 매스컴을 탔고, 덕분에 조지아 주는 매우 난처한 입장이 되었다. 그렇기 때문에 보안 점검이랍시고 이리 저리 찔러보는 행위 자체를 금지시키려 법무상이 법적 장치를 요구한 것으로 알려져 있다.

전자프런티어재단의 스콧 존스(Scott M. Jones)는 “결국 비파괴적인 취약점 연구 행위를 하고, 윤리적으로 보고를 해도 이 법안 때문에 범죄자가 되게 생겼다”고 말한다. 전자프런티어재단은 이미 거부권을 행사하기 위해 조지아 주의 주지사인 네이선 딜(Nathan Deal)과의 면담을 요청해놓은 상태라고 한다.

전자프런티어재단은 “조지아 주가 여태까지 사이버 보안 연구의 허브였다는 사실을 기억해야 한다”고 지적하며 “새로운 법안이 적용되기 시작하면 다른 지역이 사이버 보안 허브 자리를 꿰찰 것”이라고 말했다. “사이버 보안 산업이 여기서 육성되는 일은 거의 없을 것입니다.”

또한 전자프런티어재단은 “이번 법안은 매우 위험한 시도이며, 법 제정자들이 생각지도 못한 후폭풍이 있을 것”이라고 강조했다. “특히 사이버 보안 연구자들의 취약점 발굴 행위가 힘을 잃게 될 것이고, 이 때문에 많은 사회적 시스템에 구멍을 그대로 방치한 채 살아가게 될 것입니다. 주지사가 조치를 취하셔야 합니다.”

일부 보안 전문가들은 “이제 조지아에서는 쇼단 같은 검색 엔진을 사용하는 것조차 불법이 될 수 있을 것”이라고 우려를 표하기도 했다. “많은 보안 전문 기술을 가진 이들이 조지아 주를 빠져나갈 것입니다.”
[국제부 문가용 기자(globoan@boannews.com)]

<저작권자: 보안뉴스(www.boannews.com) 무단전재-재배포금지>