개요
- 보안 관련 법률에서 서버의 소유자의 허가 없이 취약점 조사를 하는 것은 금지된다라고 이해하고 있다.
- 그런데 실제로는 어떨까? 지금도 수많은 취약점 분석가나 버그 헌터들은 취약점 보상 제도를 운영하고 있지 않은 회사의 서버에 대해서도 취약점 스캔을 수행하고 있다.
- 이런 조사는 모두 불법일까?
한국 사례
사례 1. 발목 잡힌 ‘버그바운티’… 결함 지적에 보상은커녕 처벌 위협
- 2017년의 동아일보 기사이다.
- 취약점 조사 후 취약점을 보고했는데 형사고발당했다는 내용이다.
- https://www.donga.com/news/Economy/article/all/20171212/87703160/1
- 한국의 정보통신망법(정보통신망 이용촉진 및 정보보호 등에 관한 법률) 48조 1항은 ‘누구든지 정당한 접근권한 없이 또는 허용된 접근권한을 넘어 정보통신망에 침입해서는 안 된다’고 규정하고 있다.
- 선의로 취약점을 조사했더라도 정당한 접근권한 없이 침입했다는 점에서 법으로 심판받을 수 있다는 내용이다.
- “제보 목적 등 선의로 접근하는 경우 처벌예외 사유를 규정하는 보완책 마련이 시급하다” 라는 등 법 개선의 목소리도 있는 것 같다.
사례2. 보안 취약점 제보의 불법 vs 공익 논쟁, 또 다시 불붙다
- 육군 예하부대 홈페이지 취약점 제보로 촉발된 논쟁, 가열 양상. 정보통신망법상 불법 행위 vs 국가기관 보안성 위한 공익 활동. 외국처럼 버그바운티 상시 운영해 보안성 높이자는 의견도 나와
- 2018년 보안뉴스 기사이다.
- https://www.boannews.com/media/view.asp?idx=68028
- 마찬가지로 정보통신망법에 의해 금지된다고 설명하고 있다.
- 동법 제72조 ‘벌칙’은 “제48조제1항을 위반하여 정보통신망에 침입한 자”에 대해 “3년 이하의 징역 또는 3천만원 이하의 벌금에 처한다”고 명시하고 있다.
일본 사례
IPA의 정보 시스템 등의 취약성 정보 취급법률면 조사 보고서 개정판
- 2019년에 발행되었다.
- https://www.ipa.go.jp/files/000072543.pdf
- 상당히 긴 문서이기 때문에 읽는데 시간이 걸릴 것 같다.
- 방대한 내용이지만 IPA에서 발표한 것이기 때문에 신뢰도도 높고, 미국의 상황도 적혀있어서 참고가 된다.
- 위 문서는 IPA정보시스템등의취약점정보취급법률면조사보고서개정판 에서 번역중이다. 일본은 대략 한국의 상황과 비슷한 것 같다. (허가없는 취약점 조사는 불법이다.)