[디지털데일리 이민형기자] 공명심 때문에 불법행위를 자행하는 화이트해커가 증가함에 따라 보안업계의 우려가 높아지고 있다. 웹사이트 취약점을 찾는다는 이유로 정보통신망 이용촉진 및 정보보호 등에 관한 법률(정보통신망법), 개인정보보호법 등 현행법을 위반하고 있기 때문이다.

18일 보안업계에 따르면 공공기관, 기업들의 웹사이트 취약점을 찾아다니는 화이트해커들이 늘어나고 있다. 이들은 ‘공익을 위해서’라는 이유로 취약점을 찾아내고 이를 한국인터넷진흥원(KISA)이나 언론사 등에 제보해 문제를 해결되도록 유도한다.

이러한 행위는 더 큰 피해를 사전에 막을 수 있다는 측면에서는 바람직할 수 있다. 하지만 보안업계에서는 이러한 행위 대부분이 불법이라는 점을 문제로 삼고 있다.

정보통신망법 제48조1항에는 ‘누구든지 정당한 접근권한 없이 또는 허용된 접근권한을 넘어 정보통신망에 침입해서는 안된다’고 명시돼 있다.

즉, 공익의 목적이 있더라도 사업자의 동의 없이 웹사이트의 취약점을 찾는 행위는 현행법 상 불법이다. 취약점을 찾는 행위 자체가 사업자의 입장에서는 사이버공격과 동일하게 받아들일 수밖에 없다는 것도 고려해야 한다.

가령 웹사이트에 존재하는 SQL인젝션 취약점을 찾기 위해서는 실제로 SQL인젝션 공격을 해볼 수 밖에 없다. SQL인젝션은 아이디, 비밀번호 양식에 SQL명령어를 입력해 관리자 권한을 획득하는 공격이다.

공격자가 권한을 획득하면 웹사이트에 연결된 DB서버의 데이터를 탈취할 수 있게 된다. 웹사이트 관리자의 입장에서는 SQL인젝션 취약점을 찾아낸 해커가 단순히 취약점만 찾아낸 것인지, 아니면 DB서버까지 접근한 것인지를 판단할 수 없다.

이러한 이유 때문에 정보통신망법에서는 ‘정보통신망 침입’에 대한 정의를 보수적으로 설정했다. 취약점을 찾는 해커들의 의도가 순수한지 여부를 판단할 수 없기 때문이다.

더 큰 문제는 국가 기간시설에 무단으로 침입하는 등의 행위도 아무런 위기감이나 심각성을 느끼지 않으며 자행하고 있다는 것이다.

박문범 KISA 취약점점검팀 선임연구원은 “최근 언론을 통해 소개되는 웹사이트 취약점 사례들은 대부분 불법적인 행위로 찾는다”며 “특히 해킹을 배우기 시작한 학생들이 위법성에 대한 고민도 없이 취약점을 찾고 있어 문제가 크다”고 설명했다.

실제 최근 언론을 통해 보도된 소방서 인트라넷 취약점 사례의 경우, 선의에 의한 행위였더라도 국가 기간시설에 대한 침입으로 인정돼 제3자에 의한 고발까지 당할 수 있다.

박 선임은 이어 “공익을 위한다고 해도 타인의 정보통신망에 무단으로 접근하는 것은 불법적인 행위임을 화이트해커들이 인지할 필요가 있다”고 지적했다.

<이민형 기자>kiku@ddaily.co.kr