[디지털데일리 이민형기자] 미래창조과학부가 화이트햇 활성화를 위해 정보통신망법 개정 논의를 시작한다. 화이트햇은 공익을 위해 정보통신망 등의 취약점을 찾는 행위를 뜻한다.

10일 강성주 미래부 정보화전략국장은 “정보보호 대토론회에서 화이트햇 활동을 위한 정보통신망법 개정 의견이 전문가들 사이에서 제기되고 있어 함께 논의해볼 계획”이라고 전했다.

현행 정보통신망법을 화이트햇 활동에 적용할 경우 대부분의 행위가 법률 위반 소지가 크다. 이 때문에 화이트해커들은 사이버보안 강화를 위해 화이트햇 정보통신망법 일부를 개정하거나 면책조항 마련이 필요하다고 지적하고 있다.

포트 스캔은 네이버, 구글 등 서비스 제공업체들이 운영 중인 서버에서 열려있는 TCP/UDP 포트를 검색하는 것을 뜻한다. 포트 스캔으로 서비스 침입이 이뤄지는 것은 아니지만, 취약점을 찾는 행위이기 때문에 해킹의 예비행위로 처벌할 수 있다는 해석(형사정책연구 제18권 제4호)이 나오기도 했다.

현재까지 국내에서 포트 스캔으로 처벌을 받은 사례는 없으나, 정보통신망법 위반 행위라는 점은 관용적으로 받아들여지고 있는 상황이다.

이와 관련 김용대 카이스트 교수는 “단순한 포트 스캔조차 불법으로 규정하면 화이트햇 활동과 더불어 형평성에 문제가 생긴다”고 강조했다.

김 교수는 미국의 사물인터넷 인프라 검색엔진 쇼단(SHODAN)을 예로 들며 현행 정보통신망법의 문제점을 지적했다.

그는 “쇼단은 포트 스캔을 기반으로 동작하는 서비스다. 쇼단이 국내 인프라를 탐색하는 행위는 합법인데, 국내 화이트해커들이 포트 스캔을 하면 불법이 된다”며 “이런 규정을 완화해 학생과 연구자들이 마음놓고 취약점 등을 연구할 수 있는 환경을 만들어야 한다”고 말했다.

정보통신망법 개정보다는 국내기업들이 스스로 버그바운티 활동을 확산해야한다는 주장도 나왔다. 자정작용으로 보안을 스스로 강화하자는 지적이다.

이승진 그레이해쉬 대표는 “기본적으로 SQL인젝션과 같은 취약점 점검은 공격으로 전환될 가능성이 높고, 그 의도를 해석하기 힘들기 때문에 법률로 제재를 하는 것이 옳다고 본다”며 “다만 구글, 애플, 드롭박스처럼 기업들이 자발적으로 버그바운티를 유도하는 환경을 정부에서 만들어주는 것이 필요한 상황”이라고 설명했다.

기업에서는 이러한 분위기가 위험한 상황을 초래할 수 있다고 우려를 나타냈다. 신수정 KT 전무는 “정보통신망법 개정을 하지 않더라도 보안컨설팅, 모의해킹 전문업체와 계약을 통해 충분히 문제점을 찾아내고 해결할 수 있다”며 “화이트햇 활동 활성화를 위해 법을 개정하거나 면책 조항을 만드는 것은 매우 위험한 발상”이라고 말했다.

이와 관련 강 국장은 “정보통신망법은 여러 사안들이 밀접하게 연관돼 있어 많은 논의가 필요할 것으로 보인다”고 전하며 향후 관련된 논의를 준비하겠다고 전했다.

<이민형 기자>kiku@ddaily.co.kr