美 연방법 개정에 화이트해커 '숨통'···남은 과제는?

지난 2년간 사이버 보안과 관련된 미국의 연방 법이 개정되며 화이트 해커의 숨통을 트여줬다. 보안 연구라는 선의를 가지고 수행한 해킹은 불법으로 여기지 않는 쪽으로 바뀐 것이다. 그러나 연방 법에 비해 미국 주법은 아직 천차만별이라는 문제가 남아 있다. 또한 최근 입법된 중국의 '48시간 취약점 보고법'은 기업에게 큰 짐이 될 전망이다.
 

해커라고 하면 보통 후드티를 입은 위협 행위자를 떠올린다. 하지만 해커 대다수는 사실 일반인을 보호하기 위해 활동하는 보안 연구원이다. 

보안 연구원은 디지털 네트워크와 디지털 자산의 보안 구성을 조사하고 테스트한다. 그러나 보안 관련법은 이런 화이트 해커와 블랙해커를 구분하지 못한다. 

개인 정보 보호 및 데이터 보안 그룹에 베너블 LLP(Venable LLP)에서 변호사로 활동하는 할리 가이거는 그나마 지난 몇 년 동안 법이 개선됐다고 말했다. 가이거는 '슈무콘 2023(Shmoocon 2023)'에서 사이버 보안과 관련된 3가지 개정사항을 언급하며 보안 연구자의 처지가 나아졌다고 주장했다. 

그는 "지난 몇 년 동안 이뤄낸 변화 덕분에 보안 연구가 법적으로 더 보호받게 됐다”라고 말했다. 

특히 미국에서는 컴퓨터 사기 및 남용방지법(CFAA; 해커에게 가장 큰 영향을 미쳐 논란이 가장 많은 법), CFAA에 따른 법무부(DOJ)의 과금 정책, 디지털 밀레니엄 저작권법 등이 해커에게 유리하게 바뀌었다.

하지만 반대로 미국 주 차원의 법과 최근 입법된 중국의 취약점 공개법은 오히려 사이버 보안 연구자의 처지를 악화했다.
 

컴퓨터 사기 및 남용방지법(CFAA) 개정 

가이거는 CFAA가 1986년 포괄적 범죄통제법(Comprehensive Crime Control Act) 개정안의 일부로 제정됐으며, 해킹 문제에 대응한 최초의 미국 연방 법이라고 밝혔다. 그는 "CFAA는 꽤 오랫동안 해커 커뮤니티에서 ‘해커 잡는 귀신’으로 유명했다”라며 “아마 가장 유명한 해킹 방지법일 테다. 형법이자 민법으로서 절대 무시할 수 없는 존재였다. CFAA에 따라 형사 기소될 수 있으며, 사적인 소송으로 위협을 받을 수도 있다”라고 말했다. 



CFAA는 권한 없이, 혹은 권한을 넘어 컴퓨터에 접근하는 행위 등을 금지한다. 가이거는 “권한을 넘어 접근하다는 문구가 매우 중요하다”라며 “특정 컴퓨터를 쓸 수 있는 권한이 있더라도 허가받지 않은 다른 용도로 썼다면 CFAA를 위반할 수도 있었다”라고 설명했다. 

그런데 2021년 6월 미국 대법원은 ‘반 뷰런 대 미국(Van Buren v. United States)’ 사건에서 이 조항을 뒤집는 판결을 했다. 반 뷰런 판결에서 판사는 “사용 권한을 부여받은 컴퓨터를 허가받지 않은 용도로 쓴다면 계약 위반일 순 있어도 연방 법을 어긴 범죄는 아니다”라고 말했다. 

가이거는 슈무콘에서 참가자들에게 이 판결이 CFAA를 약화했더라도 “애초부터 컴퓨터를 사용하려면 권한을 얻어야 하는데, 서비스 이용 약관 자체가 권한 여부를 좌지우지할 수 있다”라고 말했다. 

밴 뷰런 판결이 난 2021년 1년 뒤, CFAA와 관련된 또 다른 중요한 개선점이 생겼다. 미국 법무부가 해커를 보호하기 위해 과징금 정책을 변경한 것이다. 처음으로 선의로 행동하는 보안 연구원을 기소해서는 안 된다는 내용을 명시했다. 

가이거는 "국가 최고위 검사가 화이트 해커를 보호하겠다고 나선 셈이다"라고 말했다. 

그럼에도 법무부는 형법만을 다루므로 이러한 변화에는 한계가 있다. CFAA의 사적 소송이나 주 정부 법을 건드리지는 못한다. 
 

‘화이트 해커용 예외 조항’ 신설

법무부의 새 과징금 정책은 디지털 밀레니엄 저작권법(DMCA)이 정의한 선의의 해킹 개념을 따른다. 1998년 10월에 제정된 DMCA는 수많은 논란에 휩싸여온 부적절한 법안이다. DMCA 1201조에는 선의의 보안 연구에 관한 예외 조항이 있다. 이 조항에 따르면 해를 끼치지 않으며 컴퓨터 및 소프트웨어를 더 안전하게 만드는 것을 목표로 하는 연구가 선의의 연구다. 

그러나 1201조에는 기술적 보호 조치를 회피하는 것을 금지한다는 조항이 있다. 가이거는 “보안 기술 우회가 바로 해킹이 하는 일인데, 이 법은 해킹 자체를 금지하는 셈이다”라고 지적했다. 
 

또한 그는 "이 법에는 소프트웨어에를 쓰려면 저작권 소유자의 승인을 받아야 한다라고 명시되어 있다. 그런데 대체 소프트웨어 저작권자의 허가를 받는 사람이 있긴 합니까?"라고 말했다. 

DMCA 1201조는 2021년에 업데이트되며 보안 연구를 위한 예외 조항이 신설됐다. 이 업데이트 덕분에 이제 보안 연구원이 다른 법을 위반하더라도 예외 조항의 보호를 받을 수 있다. 

그런데 문제는 "불법 거래(trafficking)"를 금지하는 다른 조항이 있다는 점이다. 가이거에 따르면 이 조항은 결정적인 결함이다. 가이거는 "따라서 DMCA 1201조는 저작권자의 허가 없이 소프트웨어 보안 보호 장치를 우회하거나, 기술 보호 조치를 우회하는 것을 주로 목적으로 하는 도구나 기술을 만들거나 대중에게 제공하는 것을 금지한다"라고 말했다.

그는 "이러한 기술을 만들고 대중에게 제공하는 일은 보안 침투 시험을 하는 모두가 한다. 법대로라면 침투 시험 업체, 침투 시험자, 그리고 익스플로잇을 공유하는 모든 조직과 개인이 범죄자나 다름없다”라며 “불법 거래 금지 조항은 1201조에 해당하는 윤리적 해커에게 크나큰 골칫거리다. 심지어 윤리적 해커가 상대해야 하는 악의적 해커보다 더 큰 스트레스가 될 때도 있다”라고 말했다. 
 

미국 주법 - 보안 연구원이 마주한 가장 큰 위협

가이거는 연방법이 그나마 화이트 해커에게 유리하게 바뀌고 있는데 비해 "주 정부 법은 선의의 보안 연구자에 가장 큰 법적 위험"이라고 말했다. 

그는 "주마다 자신만의 ‘컴퓨터 사기 및 남용방지법’이 있다. 주마다 적용 범위와 내용이 다 달라서 혼란스럽기 그지없다”라고 말했다. 

예를 들어, 가이거의 고향인 미주리 주는 CFAA와 동일한 사이버 보안법을 행사한다. 또한 ‘권한 없이 컴퓨터 또는 네트워크 외부에 상주하는 데이터를 가져오거나 공개하는 것’을 금지한다. 이는 CFAA보다 더 광범위한 제한 사항이다. 

가이거는 ‘컴퓨터 외부에 있는 데이터를 가져오면 안 된다는 게 대체 무슨 뜻입니까? 그렇다면 이미 인터넷에 공개되어 있는 데이터를 스캔하는 것도 위법입니까?”라며 반문했다. 

그는 “문제는 결국 주 정부가 너무 모호하며 불분명한 표현을 쓴다는 점이다. CFAA와 DMCA 1201조같은 연방정부 법안의 조항은 점점 더 명료해지고 있다. 하지만 주 정부는 아직 그 근처에도 가지 못한 상황이다”라고 말했다. 

가이거는 사이버 보안 커뮤니티가 주 정부를 잘 교육할 필요가 있다고 덧붙였다. 연방 차원의 법률과 주 차원의 법률이 서로 맞지 않기 때문이다. 

가이거는 “보안 연구 커뮤니티는 정책 입안자에게 선의의 보안 연구가 무엇인지, 악의적인 연구와는 어떻게 다른지에 교육해왔다. 매우 수고스러운 일이 아닐 수 없다"라고 말했다. 

그의 고향인 미주리 주가 좋은 출발이 될 것이다. 거의 1년 전, 미주리 주의 공화당 주지사 마이크 파슨은 세인트 루이스 포스트 디스패치(지역신문)의 기자 조쉬 르노를 위협했다. 르노 기자가 교사들의 사회보장번호가 미주리주 초 중등교육부 홈페이지 HTML 코드에 드러나 있다는 사실을 폭로했기 때문이다. 결국 검사는 파슨이 저지른 협박 행위에 합의하지 않았다. 
 

‘시대 역행’ 중국의 48시간 취약점 보고법

마지막으로 가이거는 중국이 최근 입법한 취약점 공개법을 비판하며 화이트 해커들이 이를 경계해야 한다고 말했다. 이 법에 따르면 보안 업체는 취약점을 발견한 뒤 48시간 이내에 중국 정부에 이를 보고해야 한다. 위법 시 징역형을 선고받을 수 있다. 

가이거는 “이 법대로라면 아직 취약점이 해결되기도 전에 모든 취약점 정보가 중국 정부의 손아귀로 빨려 들어가게 된다. 48시간밖에 안 되기 때문이다”라고 설명했다. 그는 이 취약점 공개법이 국제 표준으로 삼기에 적합하지 않다고 말했다.

가이거는 연구자더러 억지로 연구 결과를 정부로 넘기게 하면 오히려 반감만 생기리라 예측했다. 그는 끝으로 “이런 법은 연구에도 도움이 되지 않는다”라고 단언했다. ciokr@idg.co.kr