Home > 전체기사
오바마가 진두지휘하는 해커와의 전쟁, 아직은 물음표
  |  입력 : 2015-04-08 09:23
페이스북 보내기 트위터 보내기 네이버 밴드 보내기 카카오 스토리 보내기

1986년에 제정된 낡은 법, 확장이 아니라 개편이 중요

법의 의도는 좋으나 도리어 인재들 억제할까 염려


[보안뉴스 문가용] 사이버 범죄에 대응하기 위한 법 집행 권한의 최신화 제안 등 오바마 대통령이 해커들 응징에 집착하면서 여러 가지 말들이 오가고 있다. 범죄의 억제. 의도가 좋다는 것이야 누구나 인정하는 것이지만 그럼에도 실제 이 법안이 통과되고 입법되었을 때 우려되는 게 한두 가지가 아니다. 보안 전문가로서 행하는 여러 가지 연구들이 앞으로 불법이 될 것인가? 이제 정보보안 연구는 수사의 대상이 되어야 하는 것일까?


어떻게 보면 보안 전문가들의 존재목적과 생존에 밀접하게 연결되어 있는 문제인데 대통령의 법안은 아무런 답을 해주지 못하고 있다. 이 법안이 등장했을 때부터 이 문제가 계속 제기되었는데도 최신화 되었다, 개편되었다던 법안은 여전히 모호하기만 하다. 그래서 또 다른 문제들이 부차적으로 발생한다.


- 지금 내가 하고 있는 연구가 법에 저촉되는지 누구에게 묻고 상담해야 하는가?

- 묻고 상담하는 순간 나와 내 연구는 수사대상이 되는 걸까?

- 이 법안이 통과되었을 경우 보안 커뮤니티 전체는 어떤 변화를 겪게 될까?


정보보안의 입법화라는 건 그 자체만으로도 굉장히 복잡한 주제다. 다시 한 번 강조하지만 법안을 마련한 정부의 목적 자체야 의심하지 않는다. 범죄자를 색출하고 제어해 사회 및 기업의 안정을 도모하는 건 정부의 당연한 할 일이다. 다만 ‘나쁜 놈들’만 법으로 콕 짚어내는 건 굉장히 굉장히 어렵다는 것이다.


보안 담당자라면 취약점을 찾고 더 큰 범죄를 막기 위해 ‘능동적으로 방어하는’ 우리의 할 일에 대해 너무나 잘 알고 있을 것이다. 또한 이 ‘능동적인 방어’가 시각에 따라서 해킹 혹은 화이트 해킹으로 보이기도 한다는 것이다. 그런 우려가 산업 전체에 만연할 때 인재들이 굳이 여기에 남아있을 이유가 없어진다. 좋은 의도로 하는 일이 범죄가 될 수 있다는 공포, 그것을 해결할 방법을 함께 생각하지 않으면 오바마 대통령의 법안은 반쪽자리 성공일 가능성이 더 높다고 본다.


최근 민주주의와 기술 센터(Center for Democracy and Technology)의 할리 가이거(Harley Geiger)와 함께 이 주제를 놓고 이야기할 기회가 있었다. 굉장히 흥미로운 분야를 다뤘는데 그 중에 특히 1986년에 제정된 컴퓨터 사기와 남용법(CFAA, Computer Fraud and Abuse Act)에 대한 이야기를 하지 않을 수가 없었다.


그 법에 대해 자세히 여기서 풀어놓지는 않겠다. 다만 그 년도만 생각해보라. 1986년이다. 정보보안의 진화가 그 세월 동안 얼마나 진행되었는지를 굳이 설명하지 않아도 된다. 인터넷이 아주 원시적인 형태를 갖추던 때에 무려 ‘사이버 범죄’를 논했다는 것 자체만으로도 이미 게임오버다.


그 점을 정부도 잘 알고 있는 것으로 보이고, 그렇기 때문에 이를 다시 최신화시키는 것도 이들의 계획 속에 포함되어 있는 것으로 알고 있다. 다만 정부가 말하는 ‘최신화’는 법을 개정하는 게 아니라 확장시킨다는 것이 우리의 기대와 대척점에 놓여있다. ‘버그 바운티 프로그램을 비롯한 모든 형태의 제품 및 서비스로의 침투행위는 불법이다’와 같은 내용을 담고 있으니, 이 얼마나 애매모호한가?


이미 제정된 법만으로도 정보보안 연구행위에 얼마나 많은 장애가 발생했는지 우리는 익히 경험해왔다. MIT의 저널 스토리지 서비스에서 학문 저널을 다운로드 받은 것으로 수백 만 달의 벌금과 30년 징역형을 받고서 2013년 초 자살한 아론 스와츠(Aaron Swartz) 사건이 특히 유명하다. 이 사건이 발생한 이유는 단 하나, 법이 범죄행위와 처벌에 대한 규정을 너무 넓게 했다는 것이다. 그런데도 정부는 또 한번 법의 개념을 확장하려 하고 있다. 얼마나 더 많은 연구와 인명 피해가 있어야 이를 그만 둘까? 한 순간에 범죄자가 되어버릴 가능성이 있는데 누가 좋다고 타인을 보호하기 위해 위험을 무릅쓸까?


법 자체는 필요하고, 분명 어느 순간 통과되어 우리 삶에 들어올 것이다. 또한 입법 후에도 대부분의 사건들은 법의 애초 ‘의도’대로 해결될 것이다. 중요한 건 이 ‘대부분의 사건’에 포함하는 경우의 수를 늘리는 것이고, 이는 법의 ‘확장’으로는 절대 이룰 수가 없는 목표라는 것이다. 해커가 저렇게 능동적으로 나오는데, 우리는 언제까지 넓기만 해서 모호할 수밖에 없는 법의 테두리에 갇혀야 하는 걸까?


글 : 제레미야 그로스먼(Jeremiah Grossman)

@DARKReading

[국제부 문가용 기자(globoan@boannews.com)]


<저작권자: 보안뉴스(http://www.boannews.com/) 무단전재-재배포금지>

  •  
  • 0
  • 페이스북 보내기 트위터 보내기 네이버 밴드 보내기 카카오 스토리 보내기


  •  SNS에서도 보안뉴스를 받아보세요!! 
넷앤드 파워비즈 진행 2020년1월8일 시작~2021년 1월8일까지위즈디엔에스 2018파워비즈배너 시작 11월6일 20181105-20200131
설문조사
코로나19 사태로 인해 화상회의, 원격교육 등을 위한 협업 솔루션이 부상하고 있습니다. 현재 귀사에서 사용하고 있는 협업 솔루션은 무엇인가요?
마이크로소프트의 팀즈(Teams)
시스코시스템즈의 웹엑스(Webex)
구글의 행아웃 미트(Meet)
줌인터내셔녈의 줌(Zoom)
슬랙의 슬랙(Slack)
NHN의 두레이(Dooray)
이스트소프트의 팀업(TeamUP)
토스랩의 잔디(JANDI)
기타(댓글로)