"엄격한 정보통신망법 48조...공익 목적의 화이트해커 허용 필요"
기업들 안일한 보안의식 지적..."스스로 적응하는 것이 최선"
[ 뉴스핌=성상우 기자 ] 최근 수면위로 떠오른 사이버 보안 해결책으로 '화이트해커'의 역할을 강화하자는 주장이 제기됐다. '공익적 목적'을 가진 화이트 해커(선의의 해커)들에게 시스템 순찰을 허용함으로써 공격 의도를 가진 해커(크래커)를 찾아낼 수 있도록 하자는 취지다. 그동안 정부 주도로 관리해오던 사이버 영역에서 민간의 자정 역할을 확대하자는 목소리가 힘을 받을 것으로 보인다.
25일 한국인터넷기업협회(회장 한성숙, 인기협)가 '사이버 보안난국 해법'을 주제로 개최한 '굿인터넷클럽' 토론회가 서울 삼성동 인기협 엔스페이스에서 열렸다.
 |
| 25일 열린 '굿인터넷클럽' 토론회에서 전문가들이 발언하고 있다. <사진=성상우 기자> |
이동근 한국인터넷진흥원(KISA) 사이버침해대응본부 단장은 이 자리에서 "정보통신망법은 정당한 권한 없이 타인의 정보통신망에 들어가려는 시도 자체만으로 처벌할 정도로 강하게 규정하고 있다"며 "문제는 해커들은 이 법을 무시하는데 반해 (화이트 해커 등이) 정당한 목적으로 탐색하는 건 엄격히 제한돼있어 해커들이 더 마음껏 통신망을 돌아다닐 수 있는 아이러니한 상황이 된 것"이라고 지적했다.
이에 IT전문 변호사인 구태언 테크앤로 대표 역시 "사이버 영역에서 민간의 역할이 확대되어야 한다"며 "화이트 해커들은 해커 공격의 진원지를 찾아낼 수 있는데 처벌 규정에 막혀있다. 해커 공격이 이미 다 파악된 상태라하더라도 처벌이 두려워 밝히지 못하는 경우도 있다"고 덧붙였다.
악성코드를 분석하다가 의도치 않게 타 기업의 시스템 망에 잠깐 진입했다가 나왔는데 검찰에게 발각돼 압수수색을 당했던 어느 화이트 해커의 실제 사례도 언급됐다.
현행 정보통신망법 제 48조 1항은 "누구든지 정당한 접근권한 없이 또는 허용된 접근권한을 넘어 정보통신망에 침입하여서는 아니 된다"고 명시, 망 진입의 공익목적 여부를 묻지 않고 권한 보유 여부에 따라 일률적으로 제한하고 있다. 이날 토론 참가자들은 이 조항에 대해 타인의 정보망에 침입했더라도 그 목적에 따라 처벌여부를 달리할 수 있는 여지를 두자는 취지의 제안을 한 셈이다.
이 단장은 이에 대해 "현행법의 이같은 제한에는 불가피한 측면도 있다"며 "사이버 공간의 특성 상 망 내부로 침입한 주체가 화이트해커인지 악의를 가진 해커인지 구분하기가 매우 어려운 상황"이라고 설명했다.
이에 '사이버 탐정'을 허용하자는 주장도 제기됐다. 구 변호사는 "현재 '탐정법'이 국회에서 발의된 상태"라며 "이 법에 별도 카테고리를 만들어 '사이버 탐정' 자격을 가진 자에겐 정보통신망을 드나들 수 있는 적법한 권한을 부여하고 공익적 활동을 할 수 있도록 허용하는 방법도 있다"고 제안했다.
기업들의 안일한 보안의식에 대한 지적도 이어졌다. 이날 참석한 전문가들은 민간의 자체 노력과 능동적 대응이 시급한 때라고 입을 모았다.
이 단장은 "정부가 내놓은 보안관련 가이드라인은 '최소한'의 방안임에도 기업들은 이 가이드만을 충족해놓고 모든 준비를 다 해놓은 것처럼 생각한다"며 "사이버 영역에서 정부의 역할은 점차 줄어들 것이다. 민간이 능동적으로 각 상황에 맞는 대안을 구비하고 변화된 보안환경에 스스로 적응하는 것이 근본적 해결책"이라고 강조했다.
이어 "수년전 디도스 사태가 발생하자 민간이 스스로 보안망을 강화하는 등 자체 노력을 통해 극복한 사례가 있다"며 "디도스가 최근 많이 없어진 것처럼 랜섬웨어도 민간의 자체 노력을 통한 대응이 최선"이라고 덧붙였다.
구 변호사 역시 "엄밀히 말하면 최근의 일련의 해킹 사태는 해답이 없다"며 "데이터 백업 등 일상적 보안 수칙을 스스로 지키는 것만이 근본적 해결책"이라고 말했다. 정부의 역할에 대해서도 "이제 정부가 할 일은 시민문화에 자율성을 어떻게 이식할 지, NGO 등에게 어떤 역할을 유도할지 등을 고민하는 것"이라고 강조했다.
[뉴스핌 Newspim] 성상우 기자 (swseong@newspim.com)
