발목 잡힌 ‘버그바운티’… 결함 지적에 보상은커녕 처벌 위협

정보통신망법, 網접근도 못하게해… IT제품 보안강화 과정 사전 차단
구글-MS는 화이트해커에 포상금… 전문가 “처벌 예외 규정등 보완 시급”

2015년 6월 수도권의 한 사립대 소프트웨어학과 수업에서 ‘웹사이트 보안 취약점 확인’ 과제를 수행하던 학생 A 씨가 경찰 조사를 받았다. 자전거 대여 사이트의 패킷(데이터 전송단위)을 변경하면 ‘0원’으로 대금을 결제할 수 있는 취약점을 발견하고 업체에 제보한 게 화근이었다. 이 업체는 제보에 대한 보상을 하기는커녕 A 씨를 형사고발했다. 자사 웹사이트에 몰래 침입한 불법 해킹이라는 이유였다. 그는 보안 취약점을 확인해 해킹을 방지하기 위한 의도였다고 항변했지만 결국 혐의가 인정됐다. 다행히 전과가 없고 피해가 발생하지 않은 점들이 참작돼 기소유예 처분을 받았다.

A 씨를 전과자로 만들 뻔한 정보통신망법이 사이버보안 경쟁력을 갉아먹는 것으로 지적되고 있다. 어떤 목적이든 허락 없이 망에 접근하면 그 행위 자체가 범죄가 된다는 이유에서다. 현행 정보통신망법 48조 1항은 ‘누구든지 정당한 접근권한 없이 또는 허용된 접근권한을 넘어 정보통신망에 침입해서는 안 된다’고 규정하고 있다. 보안 취약점을 감시하기 위해 선의로 망을 이용한다고 해도 불법이 될 가능성이 크다.

정보기술(IT) 서비스나 제품의 보안 강화를 위해 취약점 발견 및 제보 루트를 다양화하는 것은 세계적 추세다. 구글, 마이크로소프트, 페이스북 등은 A 씨처럼 취약점을 찾은 해커에게 포상금을 주기도 한다. 일명 ‘버그바운티(취약점 신고포상제)’로 불리는 이 제도는 소프트웨어나 애플리케이션에 존재하지만 아직 알려지지 않은 보안 취약점을 기업에 먼저 알려주는 걸 권장한다. 악의적인 목적으로 사용하거나 블랙마켓에서 판매하지 않게 하는 걸 목적으로 한다. 보상액이 수만 달러에 이르는 IT 기업도 적지 않다. 미국 국방부는 지난해 11월부터 취약점 공개 프로그램(VDP)을 통해 2800여 개의 보안 취약점을 발견하고 수정했다. VDP는 버그바운티와는 달리 별다른 보상이 없지만 시민들이 자발적으로 참여했다.

국내에서도 소프트웨어 보안 강화를 위해 버그바운티를 운영하는 업체가 점차 늘고 있다. 안랩은 지난달 열린 버그바운티 대회에서 ‘V3’ 백신의 보안 취약점을 찾아낸 연구원에게 1만 달러의 상금을 지급하고 보안 패치를 내놨다. 2012년 스마트TV를 중심으로 버그바운티 프로그램을 운영해온 삼성전자도 최근 보상금 액수를 20만 달러로 늘리고 대상 범위도 스마트폰과 빅스비, 삼성페이 등 소프트웨어로 확대했다. 한국인터넷진흥원(KISA)이 이와 유사한 소프트웨어 취약점 신고포상제를 운영하고 있다.

전문가들은 망 침입행위 자체를 무조건 범죄로 보는 정보통신망법 조항이 취약점 제보 활동을 위축시킬 수 있다고 지적한다. 이희조 고려대 컴퓨터학과 교수는 “외국의 경우 해킹으로 피해가 발생하거나 불법적 의도가 있을 때 처벌하는 데 반해 우리나라는 망에 접근하는 행위 자체만으로 범죄가 된다. 병(취약점)을 고치기 위한 건강검진(스캐닝)도 못 하게 막는 꼴”이라고 비판했다. 해외에서는 ‘쇼단’ 등 사물인터넷(IoT) 기기 정보를 검색할 수 있는 웹사이트가 활성화돼 있지만 국내는 정보통신망법 때문에 인터넷주소(IP주소) 스캔 자체가 불법이다.

법무법인 민후의 김경환 대표변호사는 “정보통신망법이 버그바운티나 보안 취약점 탐색 활동에 장애가 될 수 있다”며 “제보 목적 등 선의로 접근하는 경우 처벌예외 사유를 규정하는 보완책 마련이 시급하다”고 말했다.

　

:: 버그바운티 ::

기업의 서비스 및 제품을 해킹해 취약점을 찾은 해커에게 포상금을 주는 제도. 1995년 넷스케이프가 처음 시작한 뒤 구글, 마이크로소프트, 페이스북 등 글로벌 정보기술(IT) 기업에서 활발히 시행하고 있다. 국내는 2012년 한국인터넷진흥원이 소프트웨어 신규 보안 취약점 신고포상제를 실시한 이후 삼성전자, 네이버, 카카오, 한글과컴퓨터 등도 운영하고 있다.
　
신동진 기자 shine@donga.com