보안 취약점 신고하면 범죄자 취급...한국 법제 개선 시급

보안 연구자가 기업의 웹서비스 취약점을 발견해 알리려 하자 감사 대신 경고를 받았다. 실제 공격이나 정보 탈취 같은 불법행위를 하지 않았음에도 불구하고 말이다. 이런 상황이 반복되면서 선의의 보안 연구자들까지 취약점 발견을 외면하고 있다. 한국의 현행 법제가 보안 연구 행위를 명확히 보호하지 못하기 때문이다. 전문가들은 이 같은 구조적 문제를 해결하지 않으면 국가 전체의 사이버 보안이 약화될 수밖에 없다고 경고하고 있다.

현재 한국의 정보통신망법은 정당한 접근권한 없이 정보통신망에 접근하는 모든 행위를 원칙적으로 금지하고 있다. 문제는 보안 취약점을 확인하는 과정이 이 법의 '무단 접근'으로 평가될 가능성을 완전히 배제하기 어렵다는 점이다. 기업이 충분한 보호조치를 두지 않은 경우 이를 무단 접근으로 단정하기 어렵다는 판례도 존재하지만, 이는 어디까지나 사후적이고 개별적인 판단일 뿐이다. 보안 연구자 입장에서는 자신의 행위가 합법인지를 사전에 확신할 수 없는 상황에 놓여 있다. 결국 가장 안전한 선택은 침묵하는 것이다. 기업 역시 취약점이나 침해사고의 공개를 꺼린다. 평판 훼손과 법적 책임에 대한 부담 때문이다.

이런 구조 속에서 보안 연구자까지 취약점 발견을 외면하게 되면, 시스템의 약점은 아무도 모르는 상태로 남게 된다. 결국 공격자는 알고 방어자는 모르는 비대칭 구조가 만들어진다. 우리 법제는 취약점 신고를 장려하기 위해 신고자에게 포상금을 지급할 수 있도록 하고 있다. 그러나 발견은 권장하면서도 발견 과정 자체는 여전히 법적 위험의 경계에 두는 모순적 구조를 가지고 있다. 이 같은 이중성이 보안 연구자들을 움직이기 어렵게 만들고 있는 것이다.

해외 선진국들은 이 문제를 다르게 접근하고 있다. 미국은 선의의 보안 연구를 명확히 구별하고 공익적 목적의 취약점 탐지 행위에 대해서는 원칙적으로 형사기소를 자제하는 정책을 운영 중이다. 연방기관은 취약점 신고 정책(VDP)을 마련해 화이트해커의 접근과 신고를 제도적으로 수용하고 있다. 유럽연합도 협력 중심의 구조를 제도화하고 있다. NIS2 지침은 취약점 신고와 조정을 위한 공적 체계를 요구하고 있으며, 사이버복원력법(CRA)은 기업에게 취약점 관리와 공개(CVD) 책임을 부과하고 있다. 이들 제도의 핵심은 취약점 발견을 억제하는 것이 아니라 발견 이후의 처리 과정을 제도 안으로 끌어들이는 데 있다.

한국도 변화의 필요성을 인식해 지난 2월 25일 CVD(협조적 취약점 공개)·VDP(취약점 신고 정책) 도입 로드맵을 발표했다. 그러나 제도의 실효성을 위해서는 더욱 근본적인 전환이 필요하다는 지적이 나오고 있다. 먼저 정보통신망법 개정을 통해 선의의 해킹에 대한 명확한 면책 또는 책임제한 규정을 도입해야 한다. 연구목적, 피해 최소화, 적시 신고 등의 요건을 충족하는 경우 형사책임을 제한하는 구조가 필요하다. 둘째, 화이트해커와 기업, 정부 간 협력체계를 제도적으로 구축해야 한다. 취약점 발견·신고·조치·공개 전 과정을 투명하게 연결하고 각 주체의 역할과 책임을 명확히 해야 한다는 뜻이다. 셋째, 취약점 신고 절차와 공개 기준을 명확히 하고 신고자 보호와 보상 체계를 강화해 협력을 유도해야 한다.

보안은 규제만으로는 지켜질 수 없다. 취약점을 알려주는 보안 연구자를 범죄자로 취급하는 한, 우리는 스스로 보안을 약화시키는 결과를 초래한다. 전문가들은 이제 질문을 바꿔야 한다고 강조한다. 누가 위험을 감수하고 우리 시스템의 약점을 알려줄 것인가. 그리고 우리 사회는 그들을 어떻게 대할 것인가. 이 답변이 국가의 사이버 보안 수준을 결정할 것이다.