세계 보안 엑스포  전자정부 솔루션 페어  개인정보보호 페어  국제 사이버 시큐리티 컨퍼런스  세계 태양에너지 엑스포  스마트팩토리  세계 다이어트 엑스포  INFO-CON
Home > 전체기사
잊을 만하면 다시 불붙는 ‘보복 해킹’ 합법화 논란
  |  입력 : 2017-12-15 16:46
페이스북 보내기 트위터 보내기 네이버 밴드 보내기 카카오 스토리 보내기
새롭게 제출된 보복 해킹 관련 법안...논란 재점화
통과는 아직 무리로 보이지만, 좀 더 생산적인 결과 나올 수도


[보안뉴스 문가용 기자] 파괴. 데이터 손실. 지적 재산 도난. 사기. 협박. 사업 중단. 이런 사태들을 일으키는 해킹 사고로 발생하는 경제적 피해는 감당하기 힘든 수준이 됐는데 우리는 아직도 해커들을 찾아 보복 해킹 할 수 있는 법적 근거를 갖지 못하고 있다. 그래서 맞고 또 맞고, 두들겨 맞는다.

[이미지 = iclickart]


지난 2월 조지아 주의 의원 한 명이 공격자에 대한 ‘보복 해킹’을 한 해커의 경우 법적인 보호 조치를 취해야 한다는 내용의 법안을 의회에 제출했다. 아직 통과되진 않았지만, 비슷한 시도는 계속해서 있어왔고, 이번 법안 통과가 무산된다고 해도 계속해서 노크가 이어질 것으로 보인다. 지금 정서에서는 무리수라고 보이지만, 이러다가 언젠가 보복 해킹이 합법화될 지도 모른다.

이번에 제출된 법안의 이름은 ACDC로, ‘능동적 사이버 방어 확실성(Active Cyber Defense Certainty)’의 줄임말이다. 1986년에 제정된 컴퓨터 사기와 남용에 관한 법(Computer Fraud and Abuse Act) 1030항을 개정한다는 내용이다. 1030항은 ‘자기 소유가 아닌 시스템에 허가 없이 접근하는 건 불법’이라고 못을 박고 있다. 또한 ‘자기 소유가 아닌 시스템에 접근하기 위한 코드를 배포하는 행위’ 역시 불법이라고 규정한다. ACDC가 통과되면 이 두 가지를 모두 합법적으로 할 수 있게 된다.

법안을 제출한 목적은 “사이버 공간에서의 정당방위 행위를 가능하게 만들기 위해서”라고 한다. 물리 세상에서의 정당방위 행위를 사이버 상으로 옮겨오려면 이러한 법적 근거가 마련되어야 한다는 것이다. 그렇기 때문에 ACDC는 보복 해킹의 목적을 “공격자의 신원을 파악하고 공격 행위를 방해하기 위한 것”으로 단단히 제한하고 있다. 앙갚음을 목적으로 공격자라고 생각되는 자의 데이터를 지우거나 물리적 피해를 입히는 것 역시 금지된다.

전문가들은 이 법안이 통과되는 것에 대해 그리 긍정적이지 않다. 통과될 거라고 예상하는 사람도 드물다. 다만 ‘보복 해킹’이라는 개념에 대해서 논의를 시작해야 한다는 점에 대해서는 찬성하고 있다. 왜냐하면 현재 시스템 내에서는 해커들에게 손해를 끼치거나 위험을 감수하게 만들기가 쉽지 않기 때문이다.

현재 공격자들은 철저히 숨어서 작업한다. 그리고 대부분 처벌을 피해간다. 대신 매년 수십억 원을 자기들 호주머니로 넣는다. 이 손해액 중 되돌아오는 건 거의 없다. 잡히는 범죄자들도 거의 없다. 있어도 한해 몇 명 되지도 않으며, 정식 기소를 거쳐 재판 과정을 다 거쳐 형을 내리려면 수년 걸린다. 이 지지부진한 과정도 해커들을 철저히 잡아내겠다는 의지를 가진 정부들이여야 그나마 진행된다. 오히려 이런 해커들과 상부상조하는 나라들도 많다.

결국 세계 전체적으로 보면 해커들은 ‘로우 리스크 하이 리턴(low risk high return)’이라는 더없이 좋은 환경에서 근무하고 있는 것과 같다. 그 증거는 사이버 범죄 산업이 중흥기를 맞아 매년 눈부신 성장을 기록하고 있다는 것이다. 그리고 그 반대 급부에 있는 CISO나 보안 담당자들은 어떤가? 댕겅 댕겅 잘려나가거나, 그러한 스트레스에 시달리며 하루하루 살아가고 있다. 아무리 잘 해도 단 하나의 실수 때문에 벌을 받아야 한다면, 누가 이 일을 즐겁게 해낼 수 있을까? 조금이라도 이 전투를 공평하게 만들려면 그들에게도 부담감을 지워야 한다.

그렇다면, 그 부담감으로서 ‘보복 해킹’은 올바른 선택일까?

일단 ‘쉬운 선택’이 아닌 것만은 분명하다. ‘범인의 신원을 정확히 파악하는 일’이 지금으로서는 불가능에 가깝기 때문이다. 해커를 잡아낸다는 건, 말처럼 쉬운 일이 아니다. 공격자는 이미 활성화되어 있는 봇넷을 대여해서 들어올 수도 있다. 공격자 IP가 에티오피아와 러시아와 터키에서 발견된다면, 어떻게 쫓을 것인가?

수백만 건의 트래픽이 한 공격에 연루되었다면 어떻게 조사할 것인가? 잡는다 한들 십중팔구 자기 컴퓨터가 봇넷으로 활용되고 있는지도 몰랐던 선량한 사용자일 가능성이 높다. 아니면 그렇게 주장한다면 허위성을 어떻게 입증할 것인가? 클라우드에 숨어서 공격이라도 한다면, 그야말로 백사장에서 바늘 찾기를 시작해야 한다. 그렇다고 클라우드 업체에 잘못을 물을 수도 없고 말이다.

게다가 현재 발의된 ACDC는 ‘허가되지 않은 접근에 대해서만’ 보복 공격이 가능하다고 정하고 있기 때문에 사이버 공간에서 가장 흔한 공격인 디도스에 관하여서는 무용지물이다. 세계 여기저기에 설치된 각종 사물인터넷 기기들이 동원되는 마당에 디도스 공격의 주체는 또 어떻게 찾을 것인가?

이런 모든 어려움을 다 극복해서 공격자를 찾았는데, 한 번도 가보지 못한 나라에 사는 사람이었다면, 그 다음은 어떻게 할 수 있을까? 설령 미국의 법에 의해 보복 해킹이 보장받는다고 해서 그 나라에도 통용될까? 국제법이 이 사안에 도움이 될까? 안타깝지만 그렇지 않다. 오히려 보복 해킹을 하다가 당신만 그 나라 법에 의해 범법자가 될 가능성만 높아진다.

현재 시점에서 가장 안전하고 합법적인 보복 방법은 ‘하니팟’이다. 가짜 서버 및 서비스를 만들어 공격자들의 헛걸음을 유도하는 것도 한 방법이다. 이런 ‘덫’을 파놓고 있다가 공격이 들어오면 트래픽을 격리시키고 가짜 데이터를 제공해 공격자들에게 혼란을 주는 것이다. 이런 식의 ‘사기성 방어’가 가진 효과가 낮지 않다는 것 역시 여러 연구 자료를 통해 밝혀지기도 했다. ACDC가 통과된다고 했을 때 우리가 얻을 수 있는 효과도 이와 비슷한 수준이지 않을까 한다.

아무튼 ACDC는 현재 미국 의원들에게 던져진 상태다. 한 동안 보복 해킹에 대한 논의가 계속해서 이뤄질 전망이다. 통과되느냐 안 되느냐에 초점을 맞추기보다 ACDC로 인해 새롭게 불붙은 논의를 통해 좀 더 나은 해결책을 찾아내는 것이 최선의 결과일 것이다. 문제는 ‘보복’이 아니라, 공격자들에게 위험부담을 더 실어주는 것이다.

글 : 레이몬드 폼폰(Raymond Pompon), F5 Networks

[국제부 문가용 기자(globoan@boannews.com)]

Copyrighted 2015. UBM-Tech. 117153:0515BC
<저작권자: 보안뉴스(www.boannews.com) 무단전재-재배포금지>

  •  
  • 2
  • 페이스북 보내기 트위터 보내기 네이버 밴드 보내기 카카오 스토리 보내기


  •  SNS에서도 보안뉴스를 받아보세요!! 
위즈디엔에스 2018WD 파워비즈 2017-0305 시작
설문조사
7월은 정보보호의 달, 7월 둘째 주 수요일은 정보보호의 날로 지정된 상태입니다. 정보보호의 달과 날짜가 특정되지 않은 ‘정보보호의 날’의 변경 필요성에 대해서는 어떤 견해를 갖고 계신지요?
정보보호의 날(달) 모두 현행 유지
정보보호의 달은 현행대로, 정보보호의 날은 7월 7일로
1.25 인터넷대란, 카드사 사태 발생한 1월, 정보보호의 달(날)로
매월 매일이 정보보호의 달(날), 기념일 폐지해야
기타(댓글로)