[정보보호법바로알기 41] 힘을 얻어가는 정당방위적 역 해킹

‘역 해킹’ 정당화, 충분하고 신뢰성 있는 법적 검토 반드시 선행돼야

[보안뉴스=법률사무소 민후 김경환 변호사] 최근 맨디언트(Mandiant)의 보고서에 의하면, 중국의 사이버 특수부대인 PLA(중국인민해방군) 61398부대가 140여개의 미국 기업을 해킹 공격하면서 그들의 영업비밀이나 산업기술을 빼내온 것으로 알려졌다.

미국 국방부는 2013년 5월 6일, 의회에 제출하는 연례보고서(Annual Report to Congress)에서 노골적으로 “중국이 인민해방군의 현대화를 촉진하고 무기 공급의 해외 의존도를 낮출 기술과 전문지식을 얻으려고 사이버 해킹을 저질렀다”고 발표하면서 사이버 해킹 공격의 근원지로서 중국 정부와 군을 지적했다.

이러한 상황에서 그 어느 때보다 미국 기업이나 공공기관의 중국 해킹에 대한 불만이 커져가고 있다. 이러한 불만은 일부 법조인 및 정보보안 분야를 중심으로, 수동적으로 방어를 하는 것만으로는 빈번한 해킹공격에 대비하여 자신의 재산을 지키기에는 부족하므로, 능동적인 역 해킹(Hacking Back, Counter Hacking, Active Defence)을 허용해야 한다는 논쟁으로 번져가고 있다. 이 문제는 ‘2013 RSA 컨퍼런스’에서도 중요하게 다루어 졌었다.

이와 더불어 오바마 美 대통령의 초대 국가정보국장 데니스 블레어가 속한 지적재산권위원회(IP Commission)가 금년에 작성한 보고서(The IP Commission report)에도 ‘공격자 무력화를 위한 조치가 필요하며, 이로 인하여 해킹과정에서 발생하는 비용이 증가할 것이고, 그 결과 공격자는 해킹을 주저할 것이다’는 취지의 언급이 있었다.

이른바 정당방위(self-defence) 이론을 역 해킹에 도입해 역 해킹을 정당화시켜 보자는 시도이다.

정당방위는 타인의 현재의 부당한 침해가 있는 때, 침해를 당하는 사람이 자신을 지키기 위해 불가피하다면 침해자에 대해 가해행위도 할 수 있다는 법 이론이다. 이를 역 해킹에 대입하면, 해커의 공격이 있는 동안 자신을 지키기 위해 불가피하다면 역으로 해킹을 할 수 있다. 여기서 정당방위 이론의 핵심은 △불가피한 상황, △역공의 상당성이다.

역 해킹의 방법은 여러 가지가 존재할 수 있다. 기본적인 것으로 공격자 및 공격사이트에 대한 정보수집이 있다. 그리고 공격을 저지·중단시키는 조치, 원격접속(RAT)의 무력화, 유출된 정보가 스스로 파괴되도록 하는 조치, 해커의 사이트로 들어가 데이터를 지우는 조치 등등.

전통적으로 이러한 여러 가지 형태의 역 해킹은 불법으로 규정지어져 왔고 현재에도 여전히 이런 사고가 대부분의 사람들의 머릿속에 강하게 남아 있는 상황에서 일부 법조인 및 보안전문가의 역 해킹 합법화 시도는, 분명 오래된 주제이지만 새로운 시도임에 틀림없다.

이 역 해킹 합법화 논쟁의 중심 이슈는 자경주의(vigilantism)와 디지털 정당방위(Digital Self-Defence)이다. 즉, 국가에서 제공하는 경찰 시스템이 있는데 사적으로 보복을 할 수 있는지, 그리고 디지털 세계에서도 오프라인 세계처럼 정당방위가 인정될 수 있는지이다.

역 해킹에 대한 긍정적인 주장은 미국에서만의 현상은 아니다. 네덜란드에서는 금년 3월경, 정부기관이 용의자의 컴퓨터에 침투하거나 해킹할 수 있는 이른바 역 해킹 법안이 제출된 적이 있다.

그러나 이들이 넘어야 할 산이 크다. 미국 컴퓨터사기방지법(CFAA, Computer Fraud and Abuse Act) 및 법무부 사이버범죄 매뉴얼에 따르면, 허가 없는 접근 및 역 해킹은 명백하게 불법으로 규정되어 있기 때문이다. 역 해킹으로 인하여 해커의 컴퓨터가 아닌 무고한 경유지 컴퓨터 소유자가 피해를 볼 수 있다는 이유에서다.

역 해킹에 대한 반대여론도 만만치 않다. 다수의 전문가들은 “보복공격은 미국의 사이버 안전을 해칠 것이며, 국제법 위반이라는 비난을 면치 못할 것이다. 그리고 해커를 자극하여 더 큰 공격의 결과를 가져올 것”이라고 비판하고 있다.

줄지 않고 늘어만 가는 사이버 해킹의 피해자나 피해기업, 자꾸만 커져가는 해커의 탐욕과 급속도로 진화하고 있는 해킹 기술이 있는 한, 역 해킹 합법화 논쟁은 점점 뜨거워질 것으로 보인다.

우리나라에서도 일부 전문가들은 ‘역 해킹’의 필요성을 언급하고 있다. 하지만 법적인 기반 없이 단순한 현실적 필요성에서 역 해킹을 시도한다면 범죄자로 낙인찍힐 수 있으므로, 충분하고 신뢰성 있는 법적 검토가 반드시 선행되어야 할 것이다.

[글_법률사무소 민후 김 경 환 대표변호사(hi@minwho.kr)]

내년 회사에 꼭 도입하고 싶은 보안 솔루션 또는 플랫폼은 무엇인가요?
	XDR
	EDR
	AI 보안
	제로트러스트
	공급망 보안 체계(SBOM)
	클라우드 보안 솔루션
	기타(댓글로)