포르투갈, 화이트해킹 합법화 위해 새로운 법 제정

포르투갈에서 보안 전문가들을 보호하기 위한 법안이 통과되며 자율적인 보안 연구가 활성화 되리라는 기대감이 생겨나고 있다. 12월 4일 법령 125/2025호라는 이름으로 공개된 이 규정은 “사이버 보안 연구자와 윤리적 해커들들을 형사 기소로부터 보호한다”는 내용을 담고 있다.

이 법의 이름은 ‘사이버 보안에 대한 공익적 이익으로 인해 처벌되지 않는 행위’로 번역된다. 보안 연구에 수반되는 행위를 ‘해킹 공격’으로 프레이밍 해서 처벌하는 시도를 원천 차단하겠다는 의도가 담겨 있다고 보면 된다. 과거에는 컴퓨터 시스템에 무단으로 접근한다거나, 공격 가능성을 증명하기 위해 일부 데이터를 시범적으로 가로채는 등의 행동은 불법으로 규정됐었고, 따라서 그 의도가 무엇이든 행위자는 처벌 대상이 됐다.

이런 법이 통과된 것은 사이버 보안 전문가들의 연구 행위가 공공의 안전을 도모하는 데 꼭 필요하다는 분위기가 입법자들 사이에서 형성됐기 때문이다. 보안 취약점을 찾아내고, 그것의 익스플로잇 방법을 개발해 증명하는 등 보안 전문가들의 보호 행위가 해커들의 공격과 닮아 있다는 이유만으로 그 의도나 효과를 고려하지 않고 전부 불법으로 모든 것은 오히려 손해라는 걸 더 많은 사람들이 인지하기 시작했다고도 볼 수 있다.

보호의 테두리 밖에 있는 것들

하지만 보안 전문가들의 모든 행위가 무조건적인 보호 대상이 되는 건 아니다. 조건이 걸려 있다. 취약점을 식별하고 보안성을 강화하는 목적 아래에서만 연구를 진행해야 하며, 이를 통해 금전적 이득을 추구해서도 안 된다는 것이다. 여기에 더해 연구를 진행하면서 서비스 마비나 민간 정보 탈취 등의 피해를 조금이라도 입혀서도 안 된다는 단서 조항도 붙어 있다. 

‘연구를 위한 모의 해킹’이라고 해서 무제한으로 허가되는 것도 아니다. 피싱이나 스피어피싱은 연구 행위로 간주되지 않는다. 비밀번호를 훔치거나 악성 코드를 배포하는 것도 금지다. 이런 행위를 해놓고 ‘교육과 연구를 위해서 했다’고 주장해 봐야 구제될 수 없다고 한다.

취약점 발굴과 익스플로잇 실험을 통해 시스템 보강 방법을 알아냈다면 연구자는 해당 사실을 시스템 소유자와 개인정보 보호 감독 기관, 포르투갈의 국가 사이버 보안 센터에 조속히 알려야 한다는 내용도 법령에 포함돼 있다. 그 외 다른 사람이나 조직에는 알려서는 안 된다. 즉 기밀로 유지해야 한다는 것이다. 이렇게 알릴 사람들에게만 알린 취약점이 패치된 후부터는 10일 이내에 해당 연구 결과를 삭제해야 할 의무도 가지게 된다.

요약하자면 이렇다.
- 보안 연구자들은 컴퓨터 시스템을 보호하기 위한 연구를 독립적으로 진행할 수 있다.
- 단 시스템 보호가 아닌 침투를 주 목적으로 삼아서는 안 된다.
- 그러므로 피싱, 멀웨어 설치, 비밀번호 탈취 등의 수법은 사용할 수 없다.
- 연구 대상이 되는 사람이나 조직이 그 어떤 피해를 입어서는 안 된다.
- 애초에 공공의 안전을 위해 연구를 허용해 주는 것이므로, 사적 이윤 추구는 할 수 없다.
- 연구 결과가 나왔으면 당사자들에게만 비밀리에 알리고, 문제 해결 후 즉각 연구 결과를 삭제해야 한다.

세계적으로 바뀌는 분위기

‘보안 연구자들의 자유로운 취약점 찾기’는 지난 수십 년 동안 금기시 되어 왔다. 해커들의 공격 행위와 너무 유사했기 때문이다. 소프트웨어를 개발한 회사들 중 일면식도 없는 누군가가 갑자기 나타나 ‘당신들 제품을 뜯어봤더니 이런 저런 문제가 발견됐다’고 알려주는 걸 감사해 하는 곳은 거의 없었다. 오히려 남의 저작물을 함부로 침해했다고 엄중히 경고하거나 신고하는 것이 보다 보편적인 반응이었다. 소프트웨어 개발사만이 아니라 모두가 그랬다. 

그렇다고 보안 전문가들이 손발이 묶인 채로 살았던 건 아니다. 허락과 승인의 절차만 거치면 얼마든지 남이 만든 소프트웨어나 하드웨어를 해부할 수 있었다. 거기서 찾아낸 취약점들을 제보하는 대가로 적잖은 보상을 받기도 했다. 하지만 승인을 해 주는 기업보다 그렇지 않은 기업이 훨씬 많은 게 현실이었다. 그런 기업들은 취약점 점검을 내부적으로 실시하고자 했다. 

그런 상황에서 요 몇 년 사이 ‘공공 시스템’에 대한 사이버 공격이 급증하기 시작했다. 수도 시스템이 공격을 받고, 가스 공급망이 마비되는 등의 일이 일어났다. 사회적 혼란이 여기 저기서 발생했다. 추적해 보니 공격자들은 이런 ‘사회 인프라’에 내포돼 있던 취약점을 찾아내 침투한 경우가 많았다. 즉, 미리 누군가 취약점을 찾아내 알리기만 했어도, 그래서 그 인프라 관리자들이 적절한 조치만 취했어도 예방할 수 있었던 사건들이었던 것이다. 

이에 정부들이 보안 전문가들을 만나기 시작했고, 보안 전문가들이 법적으로 보호받지 못하고 있다는 걸 인지했다. 그 동안 보안 전문가들이 하는 일의 외적인 특징이 해킹 공격의 그것과 같다는 이유만으로 공공 시스템 보호의 기회마저 스스로 박탈하고 있었다는 것을 깨달았다. 그래서 몇몇 정부들이 앞장서서 공공성을 띈 ‘화이트해킹’ 행위를 합법으로 인정하려는 움직임을 보이고 있다.

영국의 경우 댄 자비스(Dan Jarvis) 장관이 컴퓨터 오용법을 개정하겠다고 12월 3일 발표한 바 있다. 개정 방향은 “보안 전문가들에게 적용되는 법적 제약을 완화하는 것”이라고 그는 밝혔었다. 그러면서 “보안 전문가들은 감시 대상이 아니라 환영의 대상”이라고 말하기도 했다. 현재 공공성을 띈 ‘화이트해킹’을 활성화 하기 위한 방법이 다방면으로 검토되는 것으로 알려져 있다.🆃🆃🅔

by 문가용 기자(anotherphase@thetechedge.ai

Related Materials

• [1] Portugal Revises Cybercrime Law to Protect Security Researchers and Ethical Hackers, Infosecurity Magazine, 2024년
• [2] New Portuguese Law Shields Ethical Hackers from Prosecution, HackRead, 2024년
• [3] Cybersecurity Law: New Legal Regime Protects Ethical Hackers, VdA Lawyers, 2024년
• [4] Portugal Approves NIS2: New Cybersecurity Rules for Public and Private Organizations, CyberSafe, 2024년

보안 전문가가 아니라 랜섬웨어 공격자였네?

💡Editor’s Pick - 미국의 보안 전문가 두 명, 랜섬웨어 공격에 가담 - 피해 기업 최소 5곳인 듯...피해 규모는 미확인 - 한 명은 자백, 한 명은 무죄 주장 중 보안 전문가와 악의적 해커를 구분하는 경계선이 한 차례 침해되는 사건이 발생했다. 사이버 보안 전문가 두 명이 랜섬웨어 공격을 시도하다가 붙잡힌 것이다.

The Tech Edge문가용 기자

“물 보안” 강조하는 뉴욕 주, 새 규정 초안 발표

💡Editor’s Pick - 수도 시스템 자주 공격 받는 미국 - 뉴욕에서 관련 보안 규정 새로 발표...아직은 초안 - 여러 비슷한 규정들의 용어부터 통일 미국 뉴욕 주 정부가 새로운 보안 규정 초안을 발표했다. 상수도와 폐수 처리 시스템만을 위한 규정이라 업계의 주목을 받고 있다. 뉴욕 주의 보건국과 환경보전국, 공공서비스국이 초안 작성에

The Tech Edge문가용 기자