두 달 만에 영웅→범죄자 된 허친스, 보안 커뮤니티가 돕는다

보안 커뮤니티, “보안 연구자에게 공정한 재판 받을 권리 보장돼야”
변호사 선임부터 법률 비용 후원까지... 허친스 지지하는 힘 커지는 중

[보안뉴스 오다인 기자] 마커스 허친스가 보안 커뮤니티의 지지를 받고 있다. 영국 출신의 버그 헌터이자 연구자 허친스는 크로노스 뱅킹 트로이목마를 제작, 광고, 판매한 혐의로 지난 주 목요일(3일) 체포됐다. 그는 약 2달 전 워너크라이 랜섬웨어의 전파를 막은 영웅으로 크게 주목받았다.

[이미지=iclickart]

어제(7일) 전자프론티어재단(EFF: Electronic Frontier Foundation)은 허친스 체포와 관련해 “깊은” 우려를 나타냈다. EFF는 사용자 프라이버시, 표현의 자유 등 디지털상의 시민권을 옹호하는 비영리 단체다. EFF는 “사건을 파악하는 중이며 허친스가 좋은 변호사를 얻을 수 있도록 도우려 한다”고 밝혔다.

허친스의 법률 비용을 후원하려는 움직임도 있다. 미국 뉴욕에 위치한 사이버 로펌 토르 에클랜드 P.C.(Tor Ekeland P.C.)는 시만텍의 ‘사이버 보안 차르(cybersecurity czar)’ 타라 휠러(Tarah Wheeler)와 함께 허친스를 위한 기부금 사이트를 만들었다. 이들은 보안 연구자도 공정한 재판을 받을 권리가 있다고 말한다.

휠러는 이 사이트에서 “마커스가 했거나 하지 않은 일에 대해 저마다 의견이 있을 것”이라고 말했다. “이번 사건은 유죄냐 무죄냐의 문제가 아닙니다. 미국 법 아래 모든 사람이 최선을 다해 변호 받을 권리가 있다는 믿음에 대한 것입니다. 그 모든 사람에는 보안 연구자도 포함됩니다.”

허친스는 ‘멀웨어테크(MarlwareTech)’로 더 잘 알려진 23세 청년이다. 그는 자신이 받고 있는 혐의에 대해 무죄를 주장했으며 지난 4일 약 3,400만 원(30,000달러)의 보석금을 판결 받았다. 허친스는 현지 시각으로 오늘(8일) 미국 위스콘신주 밀워키의 연방 법원에 출석할 예정이다. 한 검사는 허친스가 뱅킹 멀웨어를 제작하고 판매한 사실을 인정했다고 주장했다. 만약 모든 혐의가 유죄로 인정되면 허친스에게 수년간의 징역형이 선고될 것으로 보인다.

그러나 기소장에 명시된 사실이 상대적으로 적다는 점, 허친스가 범죄에 연루된 두 용의자 중 한 명이며 다른 한 명은 아직 정체가 밝혀지지 않았다는 점 등을 고려할 때 미국 정부가 얼마나 강력하게 허친스의 혐의를 밀어붙일 수 있을 것인지에 대해선 의문이 남는다.

워너크라이 제압에 허친스가 크게 기여했다는 사실을 기억하는 사람들은 그를 체포한 것이 부당하며 연방 검사가 도를 넘었다고 생각하는 것으로 보인다. 더 많은 사실이 드러날 때까지 판단을 유보하겠다는 사람들도 있다.

“보안 커뮤니티 내 사람들이 놀란 것처럼 저도 좀 충격적이었습니다. 특히, 미국 법무부 고위 간부들이 블랙햇(Black Hat) 행사에 긍정적으로 참여한 직후라서 더 충격적이었죠.” 버그바운티 코디네이션 업체 버그크라우드(BugCrowd)의 부사장 조나단 크랜(Jonathan Cran)은 이번 사건에 대한 의견을 밝혔다.

“저희는 이번 사건이 허친스에게 무엇을 의미하는지, 저희 자신에게는 무엇을 의미하는지, 보안 커뮤니티의 다른 연구자들에게는 무엇을 의미하는지 판단하는 중입니다. 하지만 그 의미가 좋건 나쁘건 이미 연구자들은 사기가 저하된 것 같습니다.” 크랜은 말을 이었다.

크랜은 검사가 허친스를 기소하며 근거로 든 사실, 즉 기소장에 명시한 사실들이 유죄로 인정될 만큼 범죄성이 짙지 않다고 본다. 예를 들어, 허친스가 크로노스 사본을 판매했다는 혐의나 크로노스를 숨길 수 있도록 “암호화” 서비스를 제공했다는 혐의가 사실은 암시장에서 평판을 쌓고 유지하기 위한 하나의 전략에 불과했을 수 있다는 거다.

미국 정부가 승소하려면 단순한 채팅 기록보다는 훨씬 더 구체적인 사실들이 필요하며, 허친스가 크로노스 멀웨어를 판매했을 때 그 의도를 증명해낼 거래내역이 필요하다고 크랜은 지적했다.

“이번 사건은 모두에게 경종을 울렸습니다. 보안 연구는 그 자체적으로 매우 예민한 분야입니다. 그래서 보안 연구를 받아들이는 사람들도 매우 신중한 입장일 때가 많고, 보안 연구자들도 자칫하면 합법과 불법의 선을 넘나들 수 있는 것이죠. 판례법이 앞으로 어떻게 진화하는지 지켜보는 건 이제 대단히 중요한 문제가 됐습니다. 이런 유형의 재판은 이번이 처음도 아니고 마지막도 아닐 것입니다.” 크랜의 말이다.

조지 워싱턴 대학교 로스쿨 교수 오린 커(Orin Kerr)는 사이버 문제에 대한 전문가로 유명한데, 그도 정부가 허친스 사건에서 승소하는 데 어려울 것이라고 본다. 현재까지 알려진 혐의만 봤을 때 허친스의 유죄 입증이 어렵다는 것이다.

커는 기소장을 처음 읽었을 때 정부가 허친스의 혐의에 대해 지나치게 공격적이라는 느낌을 받았다고 워싱턴포스트 기고문에서 말했다. 예컨대 허친스의 혐의 중 하나는 컴퓨터를 훼손하는 명령이나 프로그램을 고의로 보내면 불법이라는 법규와 연관돼있는데, 미국 정부가 제3자에게 멀웨어를 판매한 혐의와 컴퓨터를 실제로 훼손한 혐의를 같은 것으로 보고 허친스를 추궁한다는 것이다.

커는 “이 법규에서 혐의가 인정되려면 두 가지가 증명돼야 하는데 미국 정부가 이를 증명할 수 있을지 없을지 불투명하다”고 말한다. 커가 볼 때, 정부는 먼저 허친스와 또 다른 공모자가 타인에게 피해를 끼칠 의도가 있었는지 증명해야 한다. 그런 다음, 허친스와 공모자가 멀웨어를 이용해 다른 컴퓨터를 훼손하려고 합의했는지 증명해야 한다. 커는 허친스의 다른 혐의들에도 모두 유사한 법적 과제가 있다고 지적했다.

영국 버밍엄 시티 대학교 컴퓨터 및 디지털 기술학부 부교수 론 오스틴(Ron Austin)은 허친스 사건이 사이버 공격을 연구하고 억제하는 것과 관련해서 사이버 보안 커뮤니티와 법률 사이의 수많은 쟁점을 불러일으켰다고 말했다. 오스틴은 “보안 연구에는 늘 위험이 존재하며, 보안 연구자가 테스트 코드를 선보일 때 이것이 추후 악용될 위험이 있다”고 말했다.

이어 오스틴은 “그런 정보를 알리고 사용하는 것 사이에 균형을 잡는 일은 매우 어렵다”면서 “연구자들도 보안 커뮤니티에 정보를 알릴 때 책임감 있게 행동해야 한다”고 말했다. 그는 “만약 연구자들이 소송에 휘말릴까봐 공격을 멈추지 않거나 주저하게 되는 상황이 생긴다면, 이는 비윤리적인 해커들에게 땅을 내어주는 꼴이 될 것”이라고도 경고했다.

한편, 지난 달 헝가리는 공공기관 웹사이트의 버그를 제보한 10대 청년을 체포해 전 세계 화이트 햇 해커들의 분노를 사기도 했다. 이 청년은 부다페스트의 대중교통 관할기관이 운영하는 사이트에서 버그를 찾고 당국에 보고했는데, 해당 기관이 그를 포상하지는 못할망정 ‘사이버 공격자’라 호명하고 체포한 사실이 알려졌다. 이후 수천 명의 화이트 햇 해커들은 기관 페이스북 평점 테러, 사이트 취약점 폭로, 시위 등의 방법으로 항의한 바 있다.
[국제부 오다인 기자(boan2@boannews.com)]

3월 15일부터 시행되고 있는 개정 개인정보보호법과 관련해 가장 까다롭고 이행하기 어려운 조항은 무엇인가요?
	인공지능(AI) 등 자동화된 결정에 대한 정보주체 권리 구체화
	접근권한 관리 등 개인정보 안전성 확보조치 강화 및 고유식별정보 관리실태 정기조사
	영향평가 요약본 공개제도 도입 등 개인정보 영향평가제도
	영상정보처리기기 및 안전조치 기준
	개인정보 보호책임자의 전문성 강화 위한 전문CPO 지정
	국외 수집·이전 개인정보 처리방침 공개 등 개인정보 처리방침 평가제도
	손해배상책임 의무대상자 변경 및 확대
	공공기관 개인정보 보호수준 평가 확대
	기타(댓글로)