한국인터넷진흥원의 공식 답변, 육군본부의 패치 상황,
경찰청 사이버안전국 관계자 및 변호사 법적 소견 비롯해
공익신고자 해당 여부와 취약점 진단·제보 개선대책 종합

[보안뉴스 오다인 기자] 지난 주, 보안 취약점을 찾고 제보하는 행위가 불법인지 공익활동인지에 대해 논쟁이 뜨거웠다(‘보안 취약점 제보의 불법 vs 공익 논쟁, 또 다시 불붙다’ 기사 참고, 2018-04-01 보도).


요약하자면, 1) 국내 모 대학 보안 전공자가 허가를 득하지 않고 육군 예하부대 홈페이지의 취약점을 점검했고 2) 발견한 취약점을 한국인터넷진흥원(이하 KISA)에 제보한 뒤 국내 모 언론사에도 제보했으며 3) 제보자는 공익을 위해 취약점을 점검·제보했다고 주장하는 한편, 다른 측에선 명백히 불법 행위를 저질렀다고 대립하는 상황이다.

후속 기사에서는 이번 사건과 관련한 KISA의 공식 답변을 비롯해, 취약점 패치에 대한 육군본부의 공식 답변, 경찰청 사이버안전국 관계자의 소견, 변호사 2인의 법적 소견, 공익신고자보호법 해당 여부, 그리고 향후 취약점 진단·제보를 개선하기 위한 대책 등을 종합했다.

KISA, “허용 업체에 한해 서비스 취약점도 신고·포상되도록 추진”
KISA 취약점분석팀은 “서비스 취약점이 정보통신망 이용촉진 및 정보보호 등에 관한 법률(이하 정보통신망법) 제48조제3항을 위반할 소지가 있어 취약점 신고포상제의 포상대상에서 제외하고 있다”고 밝혔다. 이때 ‘서비스 취약점’이란 실제 서비스 중인 웹사이트나 시스템(서버, 네트워크, 보안장비 등)에 특정 데이터를 전송하여 영향을 줄 우려가 있는 취약점을 말한다.

KISA는 이 같은 서비스 취약점이 신고될 경우, 취약점 검증을 KISA가 직접 수행하지 않고 신고자가 제출한 보고서 내용을 확인해 해당 업체에 취약점 조치를 안내하고 있다고 설명했다. 이와 함께 취약점 신고자에게는 서비스 취약점이 포상대상에서 제외됨을 알린다고 덧붙였다. 처벌 여부는 KISA가 판단하지 않는다.

향후 계획에 대해 KISA는 “취약점 신고포상제 공동운영사 가운데 서비스 취약점 신고를 허용하는 업체에 한해 취약점 신고 및 포상이 이뤄지도록 추진할 것”이라고 밝혔다. 현재 KISA의 취약점 신고포상제 공동운영사로는 △한글과컴퓨터 △네이버 △카카오 △카카오뱅크 △네오위즈게임즈 △이스트시큐리티 등이 있다.

KISA 취약점분석팀은 취약점 처리가 일반적으로 1) 취약점 접수 확인 2) 분석가 할당 3) 취약점 분석(유효성, 위험도, 파급도 등) 4) 제조사에게 취약점 조치 안내의 과정을 거친다고 설명했다. 제보된 취약점 처리 기간은 사안에 따라 업무일 기준 2일에서 5일까지 소요된다.

육군본부, “문제된 소프트웨어 교체, 내년 예산에 반영토록 노력 중”
육군본부(참모총장 김용우)는 “소프트웨어 단종으로 인한 교체 필요성을 인지하고 있었다”면서 “(소프트웨어 교체가) 2015년 국방부 사업으로 승인받은 뒤 중기계획(2017년~2021년)에 포함됐으나 2017년과 2018년 재원 부족으로 반영되지 못했다”고 밝혔다. 취약점이 발견된 육군 예하부대 홈페이지 소프트웨어는 육군본부가 2008년 구매한 제품으로, 이듬해인 2009년 단종됐다.

그렇다면 2009년부터 지금까지의 유지관리는 어떻게 이뤄졌을까? 이에 대해 육군본부는 “통합 유지관리 계약에 의해 외부 전문인력과 자체인력이 유지관리를 실시하고 있으며 소프트웨어 제조사에서 2009년 이후 별도의 패치파일을 발행하지 않아 소스코드를 자체적으로 수정해오고 있다”고 밝혔다.

육군본부는 이번에 문제가 된 취약점이 지난달 29일부로 조치됐으며, 현재까지 식별된 취약점에 대해서도 조치가 되고 있는 상황이라고 덧붙였다. 육군본부는 2019년 예산에 소프트웨어 교체를 위한 예산을 반영하기 위해 노력하고 있다고 설명했다.

경찰청 사이버안전국 관계자 및 변호사 법적 소견
익명을 요청한 경찰청 사이버안전국 관계자는 “구성요건에 해당한다고 해서 무조건 처벌하지는 않는다”고 말했다. 여기서 ‘구성요건’이란 형벌을 과하는 근거가 되는 행위 유형을 기술한 것으로서 처벌의 대상이 되는 행위의 내용을 규정한 법률요건을 말한다. 범죄가 성립하려면 △해당성 △위법성 △책임성 등 세 가지 구성요건이 충족돼야 한다.

즉, 제보자가 정보통신망법 제48조에서 금지한 사항(제1항 ‘누구든지 정당한 접근권한 없이 또는 허용된 접근권한을 넘어 정보통신망에 침입하여서는 아니 된다’)을 어긴 것은 분명한 사실이지만 ‘위법성’이라는 구성요건을 충족하는지 여부가 불확실하기 때문에 오직 정보통신망법에서 금지한 바를 이행했다는 사실만으로 100% 처벌할 수는 없다는 것.

같은 맥락에서 그는 이런 사건의 경우 ‘고의가 있느냐’를 살펴봐야 한다고 설명했다. 정보통신망에 침입한 목적 자체가 특정 권한을 획득하기 위한 것이었다면 침입죄로 처벌받아야 마땅하지만, 그 목적이 권한 획득이 아니었을 수 있어 이를 고려한 뒤 최종적인 처벌 여부나 수준이 결정된다는 것이다. 그는 이 같은 판단 과정이 정보통신망법에만 국한되는 것이 아니라 모든 범죄 여부 판단에 적용되는 부분이라고 덧붙였다.

법률사무소 테크앤로 구태언 대표변호사는 제보자가 언론사 방송보도에서 시연한 내용이 “관리자가 아닌 사람이 관리자로서 로그인을 하고 글을 게재한 것과 같으며, 이에 관리자 권한을 침해했다고 볼 수 있다”고 설명했다. 구 변호사는 “정보통신망법에서 ‘접근권한’은 관리자가 정한다는 대법원 판례가 있다”면서 “관리자로 로그인했다는 사실은 관리자의 접근권한을 획득했다는 것과 동일하게 봐야 한다”고 말했다.

그러나 구태언 변호사는 이번 사건에서 ‘위법성 조각 사유’가 있는지 볼 필요가 있다고 지적했다. 위법성 조각 사유란 앞서 언급한 위법성을 배제시키는 요건을 가리키며, 대표적으로 정당방위나 긴급피난 등을 들 수 있다. 구 변호사는 “제보자의 행위가 위법성 조각 사유에 해당하는 정당행위(형법 제20조)인지를 법률적으로 따져봐야 하며, 이 같은 행위에 대한 사회적 합의가 부재할 경우 혐의가 인정될 수 있다”고 말했다. 형법 제20조는 “법령에 의한 행위 또는 업무로 인한 행위 기타 사회상규에 위배되지 아니하는 행위는 벌하지 아니한다”고 명시하고 있다.

다시 말해 관리자의 허가 없이 시스템 안전성을 점검하는 행위를 정당행위로 본다는 사회적 합의가 없다면 위법성 조각 사유가 없다고 판단된다는 것. 화이트햇 해커의 허가 없는 취약점 점검 행위가 사회적으로 정당한 행위라고 합의된 바 없다면 형법상 처벌이 가능하다는 게 구 변호사의 설명이다. 또한, 제보자가 취약점 발견 후 언론에 제보한 행위는 순수한 선의가 오해되는 부분이라고 짚었다.

이와 함께 구 변호사는 행위 자체에 악의가 없다면 유죄로 인정된다 하더라도 검사의 기소재량에 의해 처벌 수위가 낮아질 수 있다고 덧붙였다. 그는 이러한 사건과 관련해 정당행위의 기준이 수립되려면 사법 판단이 많이 이뤄져야 할뿐더러 정당행위가 무엇인지에 대한 연구도 따라야 한다고 말했다.

취약점 제보의 공익신고자보호법 해당 여부
법무법인 민후 김경환 대표변호사는 “현행 정보통신망법상 시스템 보유자의 허가를 받지 않은 취약점 점검을 합법으로 볼 법적 근거가 없고 처벌의 근거만 존재할 뿐”이라고 말했다. 그러나 김 변호사는 “취약점 제보와 관련한 일반적인 근거는 아니지만 공익신고자보호법에 의하면 특정 기업 시스템에 취약점이 존재할 경우 정보통신망법이나 개인정보보호법상 행정처분의 대상이 될 수 있다”고 지적했다. 취약점이 있다는 건 국민의 안전 등을 침해하는 공익침해행위로 간주될 수 있다는 것이다.

김경환 변호사는 “그러한 취약점을 공익 목적으로 발견한 사람이 해당 기업이나 관련 기관에 신고하는 행위가 법적 책임이 감면되는 공익신고행위에 해당하는지 검토할 필요가 있다”고 설명했다. 즉, “정보통신망법에는 공익 목적의 허가 받지 않은 취약점 점검에 대한 법적 근거는 존재하지 않지만 공익신고자보호법에서 관련 근거가 있는지 확인해야 한다”는 뜻이다. 그는 공익신고자보호법상 공익신고에 해당한다면 제보자가 처벌의 감면을 주장할 수 있을 것으로 보인다고 밝혔다.

이번 사건에 대해 국민권익위원회 공익심사정책과는 “불법적인 사항에 대해서 신고를 한 것이 아니라 행위 자체가 불법적인 행위였기 때문에 공익신고자보호법에는 해당하지 않는다”고 설명했다. 공익신고는 공익침해행위가 발생 또는 발생할 우려가 있다는 사실을 신고하는 행위를 말하고, 공익침해행위는 국민의 건강과 안전, 환경, 소비자 이익 및 공정 경쟁을 침해하는 행위를 가리킨다.

공익신고가 성립하려면 △공익신고자의 이름·주민등록번호·주소·연락처 등 인적사항 △공익침해행위를 하는 자 △공익침해행위 내용 △공익신고의 취지와 이유를 기입한 신고서와 함께 공익침해행위의 증거 등을 첨부해 공익신고자보호법 제6조에서 정하는 신고처에 제출해야 한다.

공익신고에 해당하는지 여부를 따지기 전에 공익신고자보호법에서 규정한 형식적인 신고 요건에도 맞지 않기 때문에 이번 사건은 공익신고자보호법과 관계가 없다고 국민권익위원회 공익심사정책과는 설명했다.

취약점 진단·제보, 개선대책은?
지금까지 각 관계자의 공식 입장과 전문 소견을 듣고, 적용 가능한 법률 등을 검토해 봤다. 그러나 이번 사안에 대한 핵심 논의는 단순히 제보자 처벌 여부를 가리는 것에서 나아가 현행 취약점 진단과 제보 구조를 어떻게 개선할 것이며, 이로써 국가 보안성을 어떻게 높일 것인가로 이어져야 한다.

한국과학기술원(KAIST) 김용대 교수는 “취약점 제보가 보안성 강화라는 공익적 차원에서 좋은 행위라는 사실이 분명한데도, 공익 목적에서 취약점을 제보한 사람이 현행법으로는 전혀 보호받지 못한다는 점이 문제”라고 말했다. 특별한 보상을 바라지 않는 공익 목적의 취약점 제보자를 보호해줄 장치나 절차가 지금으로선 거의 없어보인다는 것이다.

김용대 교수는 취약점 진단 시 매번 해당 업체나 기관의 허가를 받아야 한다는 사실도 공격자에게 우위를 주는 제약이라고 지적했다. 그는 특히 검색엔진 ‘쇼단(Shodan)’을 예로 들며 “외국의 경우 쇼단을 이용해 취약점을 금방 찾을 수 있지만, 한국에선 쇼단이 불법으로 인식돼 우리나라의 방어 능력이 떨어질 위험이 있다”고 우려했다.

미국에서는 보안 연구 목적에서 쇼단을 이용하는 것이 합법으로 인정되고 있다. 찾아낸 취약점을 익스플로잇하는 행위는 물론 불법이지만, 인터넷을 스캔한 뒤 특정 취약점이 있는 서버에 대해 작성·발표된 논문들은 숱하게 많다는 것. 김용대 교수는 “외국에선 이런 논문이 발표될 수 있지만 국내에선 불법을 걱정해 쇼단을 돌려볼 수조차 없다”면서 “이 같은 정보의 비대칭성이 보안의 비대칭성으로 이어지고 있진 않은지 우려된다”고 강조했다.

‘사이버 보안 관점에서 본 의학 연구 보안(Securing Medical Research: A Cybersecurity Point of View, Bruce Schneier, Science, Volume 336, 22 June 2012)’ 논문을 보면, 취약점을 발견한 연구자가 해당 업체 측에만 알릴 경우 취약점이 패치되지 않고 방치되는 경우가 더러 발생했으며 이후 출시되는 제품까지 존속되기도 했다.

이에 취약점을 실질적으로 개선하려는 연구자들이 세부사항을 밝히지 않은 채 ‘이런 취약점이 존재한다’는 수준에서 공개 발표를 시작했으며, 업체들은 소송으로 맞서거나 언론 대응으로 연구결과를 폄하하기 시작했다고 저자는 짚었다. ‘취약점 완전 공개(full disclosure)’가 업체의 취약점 패치 속도가 빨라진 이유라고 저자는 덧붙였다.

보안 인식이 낮은 국내 상황에서 취약점 진단과 제보의 바람직한 방향을 사회적 합의로 수립하는 것, 더 나아가 사이버 위협 지형에서 우리나라의 방어력을 키울 방안을 모색하는 것이 시급한 과제로 남아 있다. 위 논문은 다음과 같은 문장으로 끝난다. “이러한 논쟁은 없어지지 않을 것이다. 오직 더 시급해질 뿐이다.”
[오다인 기자(boan2@boannews.com)]

<저작권자: 보안뉴스(www.boannews.com) 무단전재-재배포금지>