https://www.boannews.com/media/view.asp?idx=134301
보안 전문가들을 법적으로 보호하기 위한 움직임, 독일에서 일어나고 있다
최근 독일 의회에서는 컴퓨터 범죄법을 현대화 하려는 움직임이 생겨나고 있다. 이미 초안이 제출된 상황이고, 이것을 바탕으로 보안 전문가들의 취약점 연구가 법적으로 보다 안전해지도록 하
www.boannews.com
현재의 보안 관련 법이 왜 보안 연구 행위를 위축시키게 되는가? 이에 대해 법안은 다음과 같이 설명한다. “현재 법은 접근 권한이 없는 데이터에 대한 비인가 접근을 범죄로 규정하고 있으며, 접근 가능성만으로도 범죄 구성 요건을 충족할 수 있습니다. 따라서 단순한 시스템 접근만으로도 해당 범죄에 해당될 수 있습니다. 형벌의 범위가 컴퓨터 범죄의 위험성 및 높은 피해 잠재력을 일부 반영하지 못하고 있다는 것도 현행법의 문제입니다. 사회 인프라에 대한 해킹 공격에서 특히 현행법의 허술함이 드러납니다.”
하지만 보안 연구를 수행하려면 방어 수단을 무력화하는 것이 사실상 필수다. 보안 연구자들은 빈번하게 기존 방어 체계를 무너트리고, 그 과정에서 보안 취약점을 찾곤 한다. 게다가 인위적인 실험실 환경에서만이 아니라 실제 사용자들이 조성한 환경에서 이런 연구를 진행해야 할 때도 많다. 그런 상황에서 접근 자체에 불법성을 부여한다면 많은 보안 전문가들이 자신들의 연구 행위 때문에 범죄자가 될 수밖에 없다. 다만 현행법상 시스템 접근 권한을 가진 사람의 동의가 있을 경우 보안 연구 행위는 합법적인 것이 된다. 여기에는, 동의를 구하는 것 자체가 까다롭고 복잡해 보안 연구자들이 불필요한 노력과 시간을 투자해야 한다는 문제가 있다.
이번에 발의된 법안으로 인해 소프트웨어 저작권 규정이 느슨해질 가능성은 높지 않다. 유럽연합 때문이다. 유럽연합은 현재 독일 정부가 IT 보안 연구를 위해 소프트웨어 저작권법을 개정하는 것을 달가워하지 않는다. 보안 연구를 위해 보안 연구자들이 소프트웨어 라이선스를 일시적으로 받는 것 역시 허용하지 않고 있다. 현재까지 유럽연합은 보안 연구 때문에 저작권이 조금이라도 훼손되거나 허술해지는 것을 경계하고 있으며, 이러한 측면에 있어서는 조금도 양보할 생각이 없어 보인다. 따라서 독일도 여기에 당분간 묶여 있을 수밖에 없다.
실제 그런 상황이 자주 발생할 가능성은 낮다고 볼 수 있습니다. 처음에는 선의였다고 주장한다 하더라도 결국 나중에 데이터를 판매하거나 심각한 피해를 입혔다면, 그 최초의 선의라는 걸 믿기 힘들기 때문입니다. ‘의도’라는 주관적 요소는 사건의 객관적 정황을 기준으로 판단하는 게 정석이며, 여기에는 사후 행위도 포함됩니다. 따라서 처음에는 선의였지만 나중에 바뀌었다는 게 진지하게 받아들여지는 상황은 극히 드물 것으로 예상합니다.”
하지만 이게 그렇게 간단하게 끝날 문제가 아니라는 걸 입법자들은 잘 알고 있다. “다양한 상황이 고려될 수 있습니다. 만약 여기에 연루된 데이터가 영업 비밀을 포함하고 있다면 어떨까요? 위에서 논의된 영업 비밀 관련 법에 따라 사안별로 판단되어야 하며, 따라서 처벌될 수 있습니다. 물론 처벌이 안 될 수도 있고요. 영업 비밀을 가지고 개인적인 이익이나 경쟁에서의 우위를 점하려는 목적을 추구했다면 처벌이 되겠지요. 부당한 공개 역시 처벌의 대상이 됩니다.” 개인정보 역시 조심해야 한다. “영업 비밀이 아닌 개인정보의 경우에도 여전히 처벌이 가능합니다.”
영업 비밀도 아니고 개인정보도 아닌 일반 데이터의 경우 처벌되지 않을 가능성이 높다. 이런 일반 데이터와 관련하여 불법 행위를 입증할 방법이 많지 않기 때문이다. 불법적인 공개나 부당한 유통에 해당되지 않고, 사적인 이득 추구에도 해당되지 않는다.
다만 보안 전문가의 의도라는 것을 어떻게 판단하고 증명할 것인지가 난제로 남아있다. 독일에서 마련되는 법안이 이 난제를 푸는 실마리가 될 지도 모르겠다.
보안업계에서 어떻게보면, 가장 중요하며 예민한 문제라고 생각한다
법과, 보안
방어를 하기위해선 공격 방법을 알아야한다
하지만, 보안전문가가 선의를 가지고 행하는지, 처음에 선의를 가지고 행동했지만, 이후 돌변한다면?
실무에서 공격하는 방법을 알기위해선 실제로 보안전문가가 해커라고 생각하고 모의해킹을 해야하는데
이게 여간 까다로운게 아닐꺼다, 그렇다고 다 동의를 받으면, 그건 모의해킹이라고 해야할 수 있나?
초반 절차를 간소화하고 이후 사후조치, 보고서를 까다롭게 보는게 확실히 더 효율적인 방식이라 생각은 든다
근데, 사람의 의도, 심성, 선의는 어떻게 법으로 처리를 해야하나가 간건인 것 같다
'News' 카테고리의 다른 글
| [보안 역사, 그날] 1997년 12월 9일, 야후를 해킹한 2인조 (2) | 2024.12.21 |
|---|---|
| 동남아, 중남미, 중동·아프리카 등 세계 곳곳에... ‘K-보안’ 기술력 전파한다 (0) | 2024.12.19 |
| 해커, 아이레슨 사이트 개인정보 100만 건 탈취 주장... 텔레그램 통해 판매 시도 (1) | 2024.12.16 |
| 업그레이드 되어 돌아온 블랙바스타 랜섬웨어, 그런데 랜섬웨어는 없다? (2) | 2024.12.14 |
| 연말연시 ‘유명 기업이나 기관 사칭한 피싱’ 공격 주의보 (0) | 2024.12.13 |