선의의 보안 연구도 불법?··· 미국 조지아주 새 법률 '논란'

미국 조지아(Georgia) 주가 선의의 사이버 보안 연구를 처벌하는 법안을 추진하고 있다. 관련 사이버 보안 기업들이 반발하고 있다.



현재 주지사 네이썬 딜의 책상 위에 놓여 있는 법안이 있다. '컴퓨터 액세스 법안(SB 315, The Unauthorized Computer Access Bill)'이다. 선의의 보안 연구를 금지하고 '핵백(Hack Back)' 단체 활동을 허용하는 내용이 포함돼 있다. 조지아 주는 미국의 상위 사이버 보안 허브 중 하나다. 115개 이상의 사이버 보안 기업이 47억 달러 이상의 매출을 올리고 있다. 이 법안이 최종 비준되면 해당 주의 경제가 피해를 입고 일자리와 인재 유출이 발생할 것이라는 우려가 나오는 이유다.

조지아 주의 보안 연구원 로버트 그레이엄은 "장기적으로 (일자리 유출이) 발생할 것이라고 생각한다. 사이버 보안 연구원을 기소하면 기업은 조지아의 입지 조건에 대해 재고하게 될 것이다"라고 말했다. 그는 조지아에서 활발한 사이버 보안 커뮤니티를 만든 닷컴 시대의 스타트업 ISS(Internet Security Systems)의 수석 과학자 출신이다.

조지아 의회의 상하원이 통과시킨 이 새로운 법률에 따르면, 승인 없이 컴퓨터에 액세스하는 행위가 범죄로 간주돼 최대 5,000달러 벌금과 징역 1년을 처할 수 있다. 문제는 이 법안이 너무 모호하다는 것이다. EFF(Electronic Frontier Foundation)의 소속 변호사 네이트 카르도조는 "선의의 보안 취약성 보고도 금지될 가능성이 있다. 이 법률로 인해 독립적인 보안 연구와 취약성 공개가 제한될 수 있다. 누구에게도 도움이 되지 않는 상황이다"라고 말했다. 실제로 SB 315 조문을 보면, "액세스가 승인되지 않았음을 아는 사람이 의도적으로 컴퓨터 또는 컴퓨터 네트워크에 액세스하는 경우 승인되지 않은 컴퓨터 액세스는 불법이다"라고 돼 있다.

2016년 선거 데이터 대혼란에 대한 대응 법안
WABE 애틀랜타(WABE Atlanta)에 따르면, 이 법안은 2016년 보안 연구원 로컬 램이 어떤 데이터를 발견하면서 시작됐다. 여기에는 670만 명의 투표자, 선거 직원을 위한 암호가 걸려 있는 PDF, 선거 직원이 투표자의 등록 여부를 확인하기 위해 사용한 장치의 소프트웨어 파일, 투표를 표로 작성하는데 사용한 것으로 보이는 데이터베이스가 포함돼 있었다. 당시 조지아 주 정부가 상당한 궁지에 몰렸다.

GTCC(Georgia Tech's College of Computing)의 정보 보안 관리자 케이스 왓슨은 "투표 기계를 담당하는 사무소는 계약 연구를 위해 (KSU(Kennesaw State University)에) 이 데이터를 전송했고 (KSU는) 기계에 적절한 보안 조치를 하지 않았다"라고 말했다. 당시 이 데이터는 그 어떤 형태의 인증이나 액세스 관리 없이 KSU의 웹 서버에서 바로 다운로드할 수 있었다. KSU의 웹 사이트에 공개된 많은 양의 민감한 투표자 정보에 놀란 램은 KSU에 이를 알리고 책임감 있게 보안 문제를 공개하는 '선의의' 노력을 기울였다.

문제는 이런 상황이 전혀 개선되지 않았다는 점이다. 2017년 조지아의 또다른 보안 연구원 크리스토퍼 그레이슨이 KSU가 램의 초기 신고에 대응하지 못했고 투표자 데이터가 KSU의 웹 서버에서 다운로드할 수 있는 상태로 그대로 방치돼 있다는 것을 발견했다. 그러나 이번에는 KSU가 두 연구원을 FBI에 신고했다. FBI는 램과 그레이슨에게 잘못이 없으며 연방법이나 주법을 위반한 사실도 없다고 판단했다.

EF 조지아(EF Georgia)의 책임자 스콧 존스는 이 법안이 주 정부가 겪은 정치적 곤란에 대한 보복이라고 해석했다. 램과 그레이슨을 소급해 처벌할 수 없는 상황에서 SB 315는 향후의 유사한 이유로 주 정부가 궁지에 몰리는 것을 방지하기 위해 고안됐다는 것이다. 존스는 "기본적으로 웹 브라우저만 있으면 누구나 범죄자가 될 수 있는 법률을 만들었다. 심지어 공격 툴도 필요 없다"라고 말했다.

주지사는 아직 SB 315를 법률로 비준하지 않았다. 올 해 임기가 만료되고 임기 제한 때문에 다시 출마할 수 없으므로, 7월 1일까지 법안을 비준하거나 거부해야 한다. 주지사는 아무런 조치도 취하지 않을 수 있으며, 그럴 경우 7월 1일에 법안이 법률이 된다. 거부권을 행사하면 이를 무효로 하기 위해 양원의 2/3 과반수가 필요하다. 처음부터 상당한 과반수로 SB 315가 통과되었기 이렇게 흘러갈 가능성도 충분한 상황이다.


여러 고위 보안 전문가가 주지사에게 법안 거부를 촉구하는 서안을 보냈다. S.B. 315는 사이버 보안 연구에 대한 장벽을 만들어 조지아 주의 정보 보안 산업이 피해를 입고 궁극적으로 시민의 안전을 위협할 수 있다는 내용이었다.

애틀랜타에 있는 XFCC(X-Force Command Center)에 8,000명의 보안 연구원이 근무하는 IBM도 조지아 주 정부에 법안 재고를 요청했다. SB315의 승인되지 않은 컴퓨터 액세스에 대한 면제가 너무 광범위하면서도 너무 좁으며 현재 운영의 기초가 되는 연방 표준 컴퓨터 사기 및 남용법(Computer Fraud and Abuse Act, CFAA)과 달라 불확실성과 비효율성이 높아질 것이기 때문에 우려된다고 지적했다.

EFF는 또한 컴퓨터 범죄 피해자의 보복을 허용하는 것에 대해 우려했다. 카르도조는 "핵백 조항은 사실상 단체 활동을 승인하는 것이다. 미국 컴퓨터 범죄법상 최초가 될 것이다. 조지아 정부는 보안 연구원을 희생양으로 삼고 있는 것으로 보인다. 조지아의 선거 보안 문제를 이런 시스템의 문제를 지적한 사람에게 전가하려는 것이다"라고 말했다.

이들은 법안이 비준되면 시행을 막기 위한 선제적인 법적 조치도 취하기로 했다. 그레이엄의 입장은 특히 강경하다. 그는 "이런 법률에 따라 기소돼 큰 명성을 얻는 것도 좋다. 경범죄이기 때문에 벌금이나 징역 1년 정도는 충분히 감당할 수 있다. 앞으로 조지아의 컴퓨터를 더 뒤져보고 더 괴롭혀 줄 생각이다"라고 말했다. ciokr@idg.co.kr