일본 IPA의 정보 시스템 등의 취약점 정보 취급법률면 조사 보고서 개정판 을 구글 번역의 도움을 받아 번역하고 있는 문서입니다.
서문
취약점 정보 취급 규칙과 법률과의 관계
총론
본 절에서는 취약점 정보 취급 체계에 대한 기본적인 사실 인식, 그 취급에 대한 수법 등에 대하여 설명한다.
취약점 공개 및 표현의 자유
헌법 21조에는 “집회·결사·표현의 자유, 검열의 금지, 통신의 비밀”은 그 제1항에 있어서 “집회, 결사 및 언론, 출판 기타 일체의 표현의 자유는 이를 보장한다” 라고 하고 있다. 말할 필요도 없이, 컴퓨터 네트워크에 있어서의 취약점의 정보도, 그 정보 자체를 발표하는 것은, 표현의 자유로서, 헌법상, 보호되어야 할 권리로서 존중할 가치가 있다고 할 수 있다.
취약점 정보에 대해서는 자유로운 유통이 바람직하다는 사고방식(완전개시 完全開示의 사고방식이라고 한다)이 있다. 이 사고방식은 그 근거로서, (1) 악의적인 공격자는 취약점 정보를 이미 알고 있고, 공격자의 테크닉을 모든 사람이 알 수 있는 것이 베스트이다. (2) 벤더는 취약점 정보가 일단 공개되면 취약점에 대한 버그를 숨길 수 없다. (3) 취약점 정보를 공개하는 것은 미래에 더 나은 시스템을 만드는데 필요하다. (4) 그리고 취약점 정보는 발견자의 자신의 재산이라는 적극적인 의미를 가지고 있다.
이에 대해 책임있는 유통의 구조가 필요하다는, 말하자면 “책임있는 공개” 라는 생각이 있다. 이것은 (1) 취약점의 대다수는 취약점을 해소하는 목적보다 자기 역량의 과시 등 공개하는 것 자체가 목적이라는 동기에 의해 조사되고 공개된다.(2) 취약점을 공개하는 데에도 효과적인 다른 방법이 있을 수 있다. (3) 더 나은 시스템을 만들기 위해서라고는 해도 취약점 정보의 상세를 가르치거나 테스트할 필요는 없다는 등의 사고방식에 근거하는 것이다. 또한,이 사고 방식은 최근에는 “협조 된 공개 (coordinated vulnerability disclosre)”라고 하는 예가 증가하고 있다.
어느 쪽이든, 이 취약점 정보의 공개에 관한 룰 제정이라고 하는 것은, 표현의 자유와의 충돌이라는 관점에서도 문제가 될 수 있는 점에 대해서 유의가 필요하다.
취급 규칙의 필요성
방법
그 후의 발전
운영 실태와 조기 경계 파트너십의 현재
취약점 정보 취급 체계의 법적 의미
취약점의 중요성과 관련 문제
서문
취약점 정보 취급 체계는, 소프트웨어나 웹 어플리케이션의 「취약점」에 대해서, 대응의 틀을 정하고자 하는 것이다. 따라서 “취약점”은 매우 중요한 의미를 갖는다.
“취약점”이 보안 문제에서 매우 중요한 의미를 가지고 있음은 분명해졌다. 그런데 소프트웨어 제공의 법적인 의의가 어떤 위치를 가지고 있는가 하는 점, 거기에서의 「취약점」이 법적으로 어떠한 의의를 가지는가 하는 점에 대해서, 사전의 문제로서 검토해두는 것은 의미가 있다.
취약점의 의의
소프트웨어 제공 및 “취약점”에 대한 보수(수정)의 법적 위치
취약점 정보 발견, 통지 및 계약법 문제
리버스 엔지니어링
보안 조사 위탁 계약 및 취약성 공개
라이센스 계약, 비밀 유지 계약 및 취약성 발견 및 공개
취약점 발견 및 무단 액세스 및 신고 수리에 대해
취약성 발견 및 무단 액세스
부정 액세스 금지법의 일반적인 입장
특정 웹사이트의 취약점이 보고된 경우, 이 정보를 이용하거나 적용하여 다른 웹사이트에 동일한 취약점이 존재하는지 확인하는 것이 무단 액세스에 해당되어 버리는 것이 아닌가 하는 논점이 있다.
부정 액세스에 대해서 일본에서 법적 대응으로서는 「부정 액세스 금지법」이 있고, 이 법에 의해 규제되는 「부정 액세스 행위」의 법적인 의의로서는 「타인의 식별 부호를 입력 또는 “특정 이용의 제한을 면할 수 있는 정보(식별 부호인 것을 제외한다) 또는 지령을 입력하여” “액세스 제어 기능에 의해 제한된 특정 이용을 할 수 있는 상태로 하는” 행위」(부정접근금지법 2조 4항) 이다. 일본의 법제도에 있어서는 전기통신회선을 통한 권한없이 행하는 액세스를 금지하고자 하는 것으로 독립형 컴퓨터에 대한 액세스를 금지하지 않는 점, 또한 특별한 안전조치를 요구하지 않는 점에 특징이 있다. 취약성에 대한 문제와 관련하여 의식해 두어야 할 것은 고의범이며 시스템을 대응할 수 있는 상태에 둔다는 인식이 필요하다는 것이다. 한편, 파일의 개편이라든지, 정보의 취득, 유출 등과 같은 「범행의지」등과 같은 것은 필요하지 않다.
이 법의 적용에 관하여, 소위 취약성을 이용하는 타입의 부정 액세스 행위에 대해서는, 액세스 제어 기능의 회피를 했다고 할 수 있을지 어떨지가, 범죄의 성부를 결정하는 열쇠가 된다. 그러나, 그 회피라고 할 수 있는지에 대해서는 취약성의 종류 및 공격 수법과의 관계에서 더욱 어려운 문제가 있다. 보안 홀 공격형에 대해서는 「(2) 구체적인 적용에 대해」에서 검토한다.
취약성을 이용하는 유형의 부정 액세스 행위에 대해서는, 우선, 그러한 행위가, 부정 액세스의 「특정 이용의 제한을 면할 수 있는 정보(식별 부호인 것을 제외한다.) 또는 지령을 입력해 “액세스 제어 기능에 의해 제한된 특정 이용을 할 수있는 상태로 만드는 행위”에 해당하는지 여부가 있다. 이 정의에 해당하면 부정 접근 죄는 성립한다고 풀이된다. 부정 액세스 금지법의 규정에 의하면, 그 주관적인 것으로서는, 특정 이용을 할 수 있는 상태로 시키는 행위를 하고 있다고 하는 인식이 있으면, 범죄는 성립이라고 생각된다. 그 행위에 있어서 취약성의 정보의 검증을 하기 위한 의도가 있었다고 해도, 범죄의 성부에는 관계는 없다. 또 이 법의 제정 당시에 이미 취약성의 검증 등이 불법이 되는 것이 아닌가 하는 논의가 있었음에도 불구하고 그러한 의도를 고려하지 않고 범죄가 성립하는 것을 당연히 하고 있으며, 그러한 입법의 경위로부터도 취약성의 검증의 의도가 범죄의 성부에 영향을 미치는 것이라고는 생각되지 않는다.
또한 같은 취지로 정당 업무 행위 등의 관점에서, 불법성이 조각(阻却)된다 (=적법하게 된다) 고 생각하는 것은 곤란할 것이다.
구체적인 적용에 대해서
취약성의 종류 및 공격 수법과 관련하여, 부정 액세스 금지법의 구성 요건 중, 이른바 시큐리티 홀 공격형에 대해 살펴보기로 한다.
동법 2조 4항 2호와 3호가 주로 보안홀을 이용하여 공격하는 방법을 상정한 규정으로 되어 있다. 이 규정의 취지에 대해서는, 「그 입법 취지는, 누가 사용하고 있는지 모르게 하지 말아야 한다고 하는 관점으로부터의 규제이므로, 스푸핑형만을, 타인의 ID·패스워드의 도용형만을 규제해 하지만 보안 홀 공격형을 규제하지 않는다는 것은 규제의 균형을 잃을 것이라는 점에서 2호와 3호의 규정을 했다는 것이 첫 번째 이유이다.”라고 한다. 여기서 문제가 되는 것이, 1호의 「액세스 제어 기능을 가지는 특정 전자 계산기」라는 개념이, 어느 정도의 보안 시스템을 의미하는지, 혹은 어느 정도의 강도의 관리를 말하는 것인가 라는 문제이다. 이 점에 대해서는 후술하는 (4) 부정 액세스 금지법의 성립여부가 문제가 된 사안을 참조한다.
IoT 장비에 대한 조사 및 무단 액세스
추측하기 쉬운 ID·패스워드에 의한 입력이, 「해당 액세스 제어 기능에 관한 타인의 식별 부호를 입력해 해당 특정 전자 컴퓨터를 작동시켜, 해당 액세스 제어 기능에 의해 제한되고 있는 특정 이용을 할 수 있는 상태로 만드는 “행위”라고 말할 수 있을까 하는 문제가 있다. 이 문제에 관해서는, 소위 디폴트의 설정으로서 취급 설명서 등에서 널리 공개되고 있는 ID·패스워드를 입력하는 것은 어떤가라는 문제도 존재한다.
이 식별 부호는 액세스 관리자에 있어서 해당 이용권자 등을 다른 이용권자 등과 구별하여 식별할 수 있도록 하는 부호로서, 액세스 관리자에 의해 그 내용을 보는 제3자 에 알려서는 안 되는 것으로 되어 있는 등의 성격을 가지는 것이다(2조 2항). 특정 이용을 시키기로 한 상대방에게 번호, 기호 등을 붙이는 경우에는 「통상, 이 번호, 기호 등으로서 사용되고 있는 것이 상대방마다 붙일 수 있는 ID와 그 상대방 이외의 것을 모르도록 되어 있는 패스워드이다” 라고 한다.
상기의 정의의 해석으로부터 ①특정이용을 인정하는 상대방마다 다른 것, ②그 상대방 이외에 사용할 수 없는 것인 것의 2개의 요건을 갖출 필요가 있다고 생각된다. 특정 이용을 인정하는 상대방마다 다른 것을 요구하기 때문에, 「복수의 이용권자 등에 동일한 부호가 붙지 않게 하는 것과 동시에, 어느 이용권자 등에 붙여진 것인지를 알 수 있다 와 같이 붙여져 있는 것이 필요하다”라고 해석되고 있다. 무엇보다 구체적 사례가 되면 분명하지 않다. “guest”, “anonymous”등의 누구나가 특정 전자계산기를 이용할 수 있도록 널리 공개되고 있는 ID·패스워드에 대해서는, 식별 부호에 해당하지 않는 것으로 해석되는 한편, 특정 전자계산기의 특정 이용의 일부(예를 들면 웹사이트의 열람)에 대해서는 모든 네트워크 이용자에게 허락하고, 그 외의 특정 이용 전체는 액세스 관리자만이 ID·비밀번호를 입력하여 행하는 경우에는 이용권자 등은 복수 존재하고, 부호에 의해 액세스 관리자를 다른 이용권자와 구별하여 식별할 수 있기 때문에, 해당 ID·패스워드는 식별 코드에 해당하는 것으로 해석된다. 이러한 해석을 전제로 하는 한, 실제로 기기의 설정을 이루는 관리자까지도 「ID:admin 패스워드:admin」에 의해 기기를 관리하고 있었을 경우에는, 다른 이용권자와 구별해 식별한다 라고 하는 요건을 채우지 않는 것으로 생각하는 입장도 된 것이라고 할 수 있다. 그러나 이것에 대해 그렇다고해도 ID가 admin이라는 사람에게 admin이라는 비밀번호를 설정했다고 할 수 있다는 입장도 있다. 명확한 입장이 밝혀지고 있다는 문제라고는 할 수 없다.
또, 디폴트의 설정으로서 취급 설명서 등에서 널리 공개되고 있는 ID・패스워드를 입력함으로써 액세스할 수 있는 경우에는, 누구나가 특정 전자 계산기를 이용할 수 있도록(듯이) 널리 공개되고 있는 ID・패스워드로 있다고 풀이하는 것이 솔직하다고 생각된다.
덧붙여 이 점에 대해서는, 「예를 들면 「0000」이나 「guest」와 같은, 누구라도 용이하게 추측할 수 있는 ID나 패스워드를 설정하고 있는 네트워크, 혹은, 원래 ID·패스워드의 관리가 허술한 네트워크는 보호 대상이 될 수 없다”는 주석이 있다. 명확한 해석이 밝혀지고 있다고는 말할 수 없는 상황이다.
부정 액세스 금지법의 성립 여부가 문제가 된 사안
부정 액세스 금지법이 취약성 조사와의 관계로, 문제가 된 사안으로는, 도쿄 지판(지방법원)·2005년 3월 25일이 있다. 이 사안은 국립대학 연구원의 A가 2003년 11월 8일 도쿄도 내에서 개최된 컴퓨터 보안 회의에서 웹 서버의 취약성을 지적하는 발표를 했지만 그 때에 그 웹 서버의 취약성을 악용하여 서버에 있던 이름, 주소, 전화 번호, 연령, 이메일 주소, 상담 내용 등의 개인 정보가 저장된 파일의 내용을 열람하고, 회의에서 개인정보를 스크린에 투영했다는 사건이다. 도쿄 지방 법원은 “프로그램의 하자와 설정상의 미비가 있기 때문에 식별 코드를 입력하는 이외의 방법에 의해서도 이것을 입력했을 때와 같은 특정 이용을 할 수 있는 것을 가지고, 즉시 식별 코드의 입력에 의해 특정 이용 제한을 해제하는 기능이 액세스 제어 기능에 해당하지 않게 되는 것은 아니라고 해석해야 한다”며, 부정 액세스 금지법 위반이라고 유죄 판결을 전했다.
선행행위가 다른 행위에 미치는 영향
취약점 발견·공개자와 공격자에 의한 보안 침해에 대한 불법 행위
취약성 정보의 공개는, 이른바 스크립트 키디를 이득보게 하는 것만으로 보안에 대해서는 긍정적인 영향을 주고 있지 않는 것이 아닌가 하는 지적도 있=/다. 이러한 관점에서 표현의 자유와의 충돌이 일어날 수 있는 경우로서, 공격 코드의 작성과 그 원조의 관점, 명예훼손의 표현, 평판 피해를 주는 경우 등이 문제로서 검토할 필요가 있다.
공격 코드와 그 작성을 용이하게 하는 행위
공격 코드 또는 취약성을 “이용하는 코드”(exploit code)라는 개념이 있다. 취약성 정보의 취급을 생각할 때, 그 정보를 악용하여, 이 공격 코드가 작성되어 공격에 사용되는 경우를 상정한다. 컴퓨터 바이러스는, 일반적으로 「컴퓨터 바이러스 대책 기준」(통상 산업성 고시 제 952호) 2(1)에 있어서 「제3자의 프로그램이나 데이타베이스에 대해 의도적으로 어떠한 피해를 미치도록 만들어진 프로그램으로 예를 들면 다음과 같은 기능이 하나 이상 있는 것. (1)자가 감염 기능 (2) 잠복 기능 (3) 발병 기능 (약칭)으로 정의된다. 이 정의와 비교했을 때, 특히 취약성을 악용한 것을 여기에서 「공격 코드」라고 하고 있다. 그러나, 공격 코드에서는, 특히 전염 기능을 가지지 않고, 정보를 누설할 뿐이라고 하는 경우도 충분히 생각할 수 있으므로, 상기 3개의 기능이 필요하다고 하는 것은 아니다.
법적인 관점에서, “공격 코드”의 문제를 생각할 때, 일본에서는 “사람의 전자 컴퓨터에서 실행 용도로 제공하는 목적으로 사람이 사용하는 전자 컴퓨터에 대해 그 의도에 따라야 할 동작을 없이 또는 그 의도에 반하는 동작을 시키는 부정한 지령에 관련된 전자적 기록 그 밖의 기록을 작성하거나 제공한 자”는 “부정 지령 전자적 기록 작성 등의 죄”(형법 168조의2 항)으로 처벌된다.
또한, 공격 코드의 실행에 대해서는, 상기 「부정 지령 전자기 기록 작성 등의 죄」의 적용만이 문제가되는 것은 아니다. 적용 가능성으로서는 ①위계업무방해죄(형법 233조)(또는 형법 234조의 위력업무방해죄) ②전자계산기손괴 등 업무방해죄(형법 234조의2) 및 ③기물손괴죄(형법) 261조)의 적용 가능성이 있다. 이러한 세부 사항은 생략한다.
웹사이트의 취약성 지적과 명예훼손의 관계에 대해
현재, 소프트웨어 및 웹 사이트의 취약성의 발견과 공개는 표현의 자유의 관점에서 충분히 존중할 가치가 있다고 생각된다. 만약 그 정보의 공개에 의해, 그 정보를 보았던 것이, 말하자면, 공격 툴을 제작하거나, 이용한 것이 있었다고 해도, 특별한 사정이 없는 한 발견·공개자가, 그러한 공격 행위를 교사했다거나 쉽게 했다는 것은 어렵다고 생각된다. (쉬웠다고 할 수 있다면 형사적으로는 종범 24의 가능성이 있고 민사적으로는 공동불법행위 25 등의 가능성이 있다). 무엇보다 조기 경계 파트너십의 운용이 사회에서 널리 인식되고 있는 현재에 있어서는 조기 경계 파트너십을 무시한 취약성의 공개는 형사적으로 부정 액세스 금지법의 종범, 업무 방해죄의 종범 등의 평가 을 받을 수 있는 사정의 하나, 혹은 피해자로부터의 공격자에 대한 손해배상청구소송에 있어서 공동불법행위로서의 책임의 추구대상이 될 수 있는 사정의 하나로서 배려될 가능성도 있을 수 있다.