[대한민국 보안진단-3]보안담당자보다 범죄자가 더 무서워야 할 법

법이 해킹사고의 면죄부? 취약성 제보 막는 역작용도...

지속적으로 늘어가는 해킹공격으로 인해 금융기관, 게임회사까지 공격자들에게 큰 타격을 받았다. 이처럼 대형 해킹공격으로 인한 사고가 끊임없이 발생하는 이유는 해킹공격이 점차 사회적 범죄화되고 있다는 것을 의미한다.

이런 상황에서 대한민국 보안은 새로운 변화를 요구하고 있다. 과연 대한민국 보안에 필요한 것은 무엇일까? 보안뉴스에서는 우리 보안환경에 정말 필요한 것은 무엇인지를 면밀히 살펴보고자 한다.

<순 서>

1. 보안적 상상력

2. 웹서비스 계획에서의 보안 적용

3. 보안담당자보다 범죄자가 더 무서워야 할 법

4. 누구나 사이버범죄자의 공범이 될 수 있다

[보안뉴스 오병민] 우리나라는 IT 강국이다. 전자정부의 구현으로 인해 모든 민원활동을 인터넷으로 이용할 수 있으며 쇼핑이나 금융거래 등 모든 활동이 인터넷 환경에서 가능하도록 구현돼 있다. 이런 IT 환경은 생활에 편리함을 주는 반면 해킹공격과 같은 사이버침해에 대한 우려도 크다.

이런 환경에서 법의 역할은 매우 중요하다. 법으로 인해 악성공격자가 처벌이 두려워 사이버공격 의지를 포기할 수도 있고 사이버공격에 대응하는 보안담당자 입장에서는 법이 하나의 안전장치로 작용할 수 있기 때문이다. 더불어 보안을 제대로 하지 않는 기관이나 기업 등은 법을 통해 보안을 제대로 적용하도록 유도할 수 있다.

그러나 현재 법은 이런 기능을 모두 수행하기에는 보완해야할 점이 적지 않다.

의무적인 보안조치, 보안강화를 위한 것인가? 보안책임 면죄부인가?

정보통신망법에 따르면 법에서 명시하고 있는 기술적·관리적 조치를 하지 않아 이용자의 개인정보를 분실·도난·누출·변조 또는 훼손한 자 2년 이하의 징역 또는 1천만원 이하의 벌금을 내야한다.

이 같은 보안조치의 의무화는 기업이 보안에 소홀히 하지 않도록 만들어진 규정이다. 그러나 이런 의무조치는 오히려 해킹 사고로 인한 개인정보 유출 피해에 대한 면죄부가 되고 있다.

법이 정한 의무조치만 제대로 했다면 개인정보가 유출되더라도 과실이라고 볼 수 없기 때문이다. 이에 대한 예로 옥션 소송을 볼 수 있다. 2008년 해킹으로 인해 전체 회원 1,863만명의 정보가 유출된 옥션에 대해 피해자들의 소송이 진행되고 있다.

이 소송은 이미 2010년 1월에 진행된 1심에서 원고패소 판결을 받은 바 있다. 법원이 1심에서 옥션의 손을 들어준 이유는, 기술적 조치를 충실히 한 상황에서 발생한 해킹사고였기 때문에 불가항력적이었다는 옥션의 의견을 반영한 것. 여기서 기술적 조치를 충실히 했다는 기준은 정보통신망법에서 규정한 의무적 보안조치였다.

보안업계의 한 전문가는 “기술적 보안조치는 IT 환경과 서비스환경에 따라 지속적으로 바뀌어야 하는 것인데도 불구하고 법에서 의무적으로 규정지은 것은 문제가 있다”면서 “지속적인 개인정보유출사고와 개인정보보호법의 시행으로 기업들의 보안의식이 많이 높아진 현 상황에서는 기술적 조치를 의무화하기 보다는 컴플라이언스(준법감시) 제도의 운영을 유도해 자율적이고 능동적인 보안조치를 스스로 만들 수 있도록 해야 한다”고 말했다.

보안 취약성에 대해서는 침묵을 강요하는 법의 역작용

지속적인 지능형 해킹공격으로 특정 타깃을 노리는 사례가 증가할수록 스스로의 방어능력만으로 보안문제를 발견하고 문제점을 해결하는 것은 매우 힘든 상황이다. 정보 시스템이 발전하면서 서비스의 고도화와 직접화로 인해 시스템의 복잡성이 점차 늘어가고 있기 때문이다. 특히, 웹서비스의 경우 외부에 오픈돼 서비스가 진행되고 있는데다가 수시로 서비스가 수정 및 보완되기 때문에 취약성은 지속적으로 발견될 수밖에 없다.

웹서비스에서 발견되는 문제점과 취약성은 1차적으로 서비스 제공자가 서비스를 오픈하기 전에 발견하고 수정하지만 서비스가 오픈된 이후로는 외부 사용자가 발견하는 경우가 많다. 더욱이 현재 국내 웹서비스의 운영 특성상 부족한 내부 IT 인력으로는 운영에만 집중할 수밖에 없기 때문에 취약성을 찾는 작업을 주기적으로 수행하는 데는 한계가 있다. 그보다 더욱 심각한 것은 서비스제공자 스스로 웹서비스에서 수많은 취약성이 내포돼 있다는 것을 인지하지 못하는 점이라고 할 수 있다.

결국 웹서비스에서의 취약성 발견은 제공자만의 역할이라는 틀을 깨고 이용자의 취약성 제보에도 귀를 기울여야 한다. 그러나 우리나라 법규정은 이용자가 취약성을 발견해도 제보하기 힘들도록 만들어져 있다.

정보통신망법 제48조(정보통신망 침해행위 등의 금지)에는 ‘누구든지 정당한 접근권한 없이 또는 허용된 접근권한을 넘어 정보통신망에 침입하여서는 아니 된다’고 명시돼 있기 때문이다. 이 같은 법규정은 이용 중 버그로 인한 잘못된 접근에 대한 제보를 불법행위로 간주한다. 문제는 이 벌칙은 미수범도 처벌하도록 돼 있다는 것. 따라서 잘못된 접근을 하게 되면 3년 이하의 징역이나 3천만원 이하의 벌금을 받게 된다.

IT에 전문지식을 가진 많은 사람들은 서비스 이용중 서비스의 취약성이나 개발상 오류로 인해 잘못된 접근을 종종 찾게 된다. 이런 오류와 취약성이 공격자에게 노출되면 자칫 악성 해킹 공격으로 이어질 수 있다. 그러나 취약성을 찾은 사람들은 서비스 제공자에게 찾은 취약성을 제보하기를 꺼려하고 있다. 취약성을 제보하는 것은 잘못된 접근을 시도했다고 인정하는 것이기 때문에 법적처벌 대상이 될 수 있기 때문이다.

외국의 경우에는 오히려 버그나 취약성을 제보하면 취약성에 대한 보상금을 지급하는 프로그램을 늘리고 있다. 한 예로 구글의 경우 웹취약점을 제공할 경우 중요도에 따라 500달러에서 3,133.70달러를 지급하고 있다. 해커들이 취약점을 제공하면 악성공격자들이 먼저 취약점을 파악하기 전에 수정할 수 있다는 관점에서다.

보안업계 한 전문가는 “많은 사람들이 의도하지 않은 접근으로 인한 버그를 발견하는데, 그것 자체를 불법으로 규정하는 것”이라며, “비정상적인 접근을 통한 악성활동이 있다면 당연히 처벌받아야겠지만 접근자체를 악성행위로 간주하는 것은 오히려 취약점 제보를 막는 법의 역작용이라고 볼 수 있다”고 주장했다.

보안담당자와 사이버공격자 중 누가 더 법을 무서워할까?

보안에 대한 기술적 조치 의무화는 기업의 입장에서는 해킹사고에 대한 면죄부가 될 수 있다. 그러나 보안담당자 입장에서는 어떨까?

의무화된 기술적 조치가 해킹사고를 당한 기업의 면죄부가 된다면 대다수의 기업은 의무화된 기술적 조치 이상으로 보안을 강화하지 않을 것이다. 이런 관점은 비즈니스와 대립될 경우 가장 큰 문제를 야기하게 된다.

최근 크게 증가한 해킹사고와 개인정보 유출사고로 인해 기업의 CEO와 임원들이 보안에 대한 중요성을 알게 됐지만 우선적 투자순위 결정에 있어 비즈니스 부문과 보안 부문을 놓고 본다면 당연히 비즈니스에 이끌릴 수밖에 없다.

정보보호실태조사에 따르면 전국의 종사자수 5명 이상, 네트워크 구축 사업체 6,529개 기업중 정보보호에 대한 투자가 없는 기업은 63.5%나 되며 투자를 진행한 기업은 36.5%에 불과하다. 물론 개인정보보호법이 시행돼 법에서 지정하는 개인정보 유출방지에 필요한 의무적인 투자가 다소 증가할 것으로 보이지만 그 또한 한시적인 투자일 가능성이 높다.

이런 상황에서 진화하고 지속적인 사이버 공격을 방어해야 하는 보안담당자의 부담은 더욱 증가하고 있다. 자발적인 투자가 진행되지 않으면서 모든 해킹사고에 대한 부담은 보안담당자들에게 지우고 있기 때문이다.

국내 한 보안담당자는 “사실 기업 내에서 능동적인 보안투자를 이끌어내기는 매우 힘든 상황”이라며 “개인정보보호법 시행 이후에도 기업들은 법에서 정한 의무적 조치 사항에 대해 눈치를 보면서 선별적으로 투자하고 있는 상황”이라고 밝혔다.

[오병민 기자(boan4@boannews.com)]

3월 15일부터 시행되고 있는 개정 개인정보보호법과 관련해 가장 까다롭고 이행하기 어려운 조항은 무엇인가요?
	인공지능(AI) 등 자동화된 결정에 대한 정보주체 권리 구체화
	접근권한 관리 등 개인정보 안전성 확보조치 강화 및 고유식별정보 관리실태 정기조사
	영향평가 요약본 공개제도 도입 등 개인정보 영향평가제도
	영상정보처리기기 및 안전조치 기준
	개인정보 보호책임자의 전문성 강화 위한 전문CPO 지정
	국외 수집·이전 개인정보 처리방침 공개 등 개인정보 처리방침 평가제도
	손해배상책임 의무대상자 변경 및 확대
	공공기관 개인정보 보호수준 평가 확대
	기타(댓글로)