경찰 직위 이용해 자동차 번호 판매한 경찰관...해커와 같은 처벌 받을까?
그럴 경우 보안 전문가들의 독립적인 연구 행위도 불법으로 간주될 수 있어
시민 단체와 보안 업체들 들고 일어나...대법원에 항의 서한 보내기도

[보안뉴스 문가용 기자] 독립적으로 활동하는 보안 전문가들과 디지털 인권 단체, 기술 기업들이 미국 대법원에 ‘법정의 친구 진술서’를 제출했다. 소프트웨어, 하드웨어, 온라인 서비스의 이용자 약권을 침해하는 것이 현행법 상 해킹과 똑같은 취급을 받는 것인지 결정해 달라는 내용이었다.


이러한 서신이 발송된 것은 현재 진행 중인 ‘네이선 반 뷰렌 대 미국’ 사건 때문이다. 네이선 반 뷰렌(Nathan Van Buren)은 조지아 주의 경찰관으로, 2018년 5월 컴퓨터 사기 및 남용법을 위반한 혐의를 받고 있다. 주정부 데이터베이스에 접근해 자동차 번호판 정보를 다운로드 받아 유료로 판매했기 때문이다. 그에게는 해당 데이터베이스에 대한 정당한 접근권이 있었으나, 그 목적이 수사를 위한 것이 아니었기 때문에 ‘불법적 접근’으로 간주해야 한다고 검사들은 주장했다.

미국 대법원은 이 주장을 받아들였다. 이 때문에 보안 전문가들과 기술 기업들은 이 사건이 판례가 되어 ‘원래 목적에 맞는 접근만을 허용한다’는 규정이 수립되고, 따라서 보안 연구 및 취약점 조사가 불법 행위가 될 수 있다고 염려하기 시작했다. 만약 반 뷰렌의 행위가 다른 법이 아니라 ‘컴퓨터 사기 및 남용법’을 위반한 것으로 판결이 난다면, 소프트웨어 및 클라우드 보안도 흔들릴 수 있다고 버그크라우드(Bugcrowd)의 CTO인 케이시 엘리스(Casey Ellis)는 주장한다.

“보안 연구에 있어서 빈번하게 발생하는 것이 ‘불법적인 접근’입니다. 목적에 합치하지 않는 모든 접근 행위가 ‘불법’이며, ‘컴퓨터 사기 및 남용법’을 어긴 것이 된다면 보안 전문가들은 사실상 할 일을 잃게 됩니다. 그렇다는 건 공격자들의 사이버 공격 행위가 더 활발해질 수 있다는 뜻이 됩니다.” 그러면서 엘리스는 “컴퓨터 사기 및 남용법은 ‘악성 행위’를 근절시키기 위해 마련된 것이지, 자기 소프트웨어를 보호하려는 회사들이 보안 연구원들을 고소하라고 존재하는 게 아니”라고 강조했다.

보안 연구 행위가 위협받을 것이라고 걱정하며 이번 진술서 제출에 참여한 단체는 다음과 같다.
1) 미국시민자유연맹(American Civil Liberties Union)
2) 민주주의기술센터(Center for Democracy and Technology)
3) 전자프런티어재단(Electronic Frontier Foundation)
4) 라피드7(Rapid7) - 보안 업체
5) 버그크라우드 - 버그바운티 플랫폼 운영 업체

반대편에 서 있는 조직들은 다음과 같다.
1) 연방사법집행관협회(Federal Law Enforcement Officers Association)
2) 관리운용펀드협회(Managed Funds Assocation, MFA)
3) 보아츠(Voatz) - 모바일 투표 기술 기업

MFA는 “보안 연구 행위를 지켜준다며 불법적 접근을 허용했다가는, 악성 직원들이 고객 정보나 금융 정보, 기밀 등을 훔치는 것도 법으로 막을 수 없게 된다”고 주장하고 있고, 보아츠는 “보안 연구를 한다며 경쟁사를 음해하거나 기술의 발전을 저해시킬 수 있게 된다”는 입장이다. “보안 연구를 하지 말라는 게 아닙니다. 보안 위험에 관한 보고서의 속뜻을 구분하기 어렵다는 겁니다. 정말 순수하게 보안을 강화하려는 건지, 보안의 탈을 쓰고 비방하려고 하는 건지를 말이죠. 보안 연구라는 것이 왜 기업과 협업 형태로 이뤄질 수 없는 건지 이해할 수가 없습니다.”

하지만 대부분의 기술 기업들은 ‘컴퓨터 사기 및 남용법’의 광범위한 적용을 반대한다는 입장이다. 소프트웨어 개발사인 아틀라시안(Atlassian)과 브라우저 개발사인 모질라(Mozilla), 전자 상거래 플랫폼인 쇼피파이(Shopify) 등 굵직한 이름들이 이번에 제출된 진술서를 지지한다고 밝혔다. “이용자 약관에 명시된 대로만 움직여야 한다고 우리 스스로를 제한한다면, 그런 굴레에 얽매이지 않는 해커들만 더 많은 것을 가져가게 됩니다. 해커들을 막으려면, 그들과 같은 수준에서 활동할 수 있어야 할 것입니다.”

게다가 “제조사와 개발사의 의도대로만 제품이나 서비스를 활용하지 않는 사용자들도 전부 범죄자가 될 수 있다”는 우려의 목소리도 나오고 있다. “사용자들이 자기 돈을 주고 구입한 제품이나 서비스를, 자기 마음대로 활용하지 못하게 하는 것도 우스운 일입니다. 이번 사건에서 반 뷰렌의 혐의가 ‘컴퓨터 사기 및 남용법’을 위반한 것으로 판결이 나면 수많은 기업들이 소비자들을 고소할 수 있을 겁니다.” 엘리스의 설명이다.

4줄 요약
1. 미국의 한 경찰관이 수사용 DB에서 자동차 번호판 정보를 가져가 판매함.
2. 이것이 현재 ‘컴퓨터 사기 및 남용법’ 위반으로 처리될 것으로 전망됨.
3. 그의 행위가 해당 법 위반이라면, 보안 전문가들의 연구 행위도 위반으로 규정될 가능성 커 보임.
4. 그래서 보안 전문가 및 디지털 인권 단체들이 항의 서신을 만들어 대법원에 보냄.
[국제부 문가용 기자(globoan@boannews.com)]

<저작권자: 보안뉴스(www.boannews.com) 무단전재-재배포금지>