디지털에서 정당 방위, '보복 해킹'에 대한 시사점

본 글은 보안뉴스의 '잊을 만하면 다시 불붙는 ‘보복 해킹’ 합법화 논란' 기사와 '사이버 공간에서 디지털 자구행위 (Digital self-help) 법제도화를 위한 해킹백(Hacking Back)에 관한 소고' 논문을 읽고 느낀 점을 정리한 글임을 밝힌다.

 

본인의 정보나 계정 등 IT 자산이 해킹당한다면, 나를 해킹한 사람을 역으로 해킹할 수 있다면 얼마나 좋을지에 대한 상상을 해본 적이 있는가? 해당 행위는 타인인 공격자의 IT 자산을 해킹하는 것이기 때문에 과거 불법으로 규정되었지만, 정당방위적 행위의 경우 이제는 합법으로도 볼 여지가 생겼다. 국내의 이야기는 아니고, 미국의 Active Cyber Defense Certainty 라는 법 덕분에 미국에서는 가능한 이야기이다.

필자는 정보보안 공부를 하는 사람으로서 본인이 해킹 공격을 받을 경우 상대방을 공격하는 상상(?)을 가끔 하곤 하는데, 미국에서는 그것이 법률적으로 가능하다는 이야기이다. 기존에는 미 FBI 등 국가기관 단위의 hacking back이 가능했을 터인데, 이제는 개인 단위로도 가능하다는 이야기이다.

하지만 아직 대부분의 개인이나 기업 등은 보복 해킹 능력이 부족한 실정이다. 하지만 디지털 장의사 등 몸캠 사건 등으로 유출된 개인정보를 지워주는 업이 등장한 것처럼 (법률적으로 가능하다면) 보복 해킹을 전문으로 하는 업체가 등장할 수도 있지 않을까.

물론 어디까지나 미국법에 한정된 이야기며, 아직 국내에서 hacking back은 법제화되지 않았다. 따라서 현실적 일지는 모르겠지만 먼저 공격한 해커가 도리어 고소를 한다면, 법률적으로 문제의 소지가 있다.

보안뉴스의 기사에서는 이 법을 이렇게 바라보고 있다. 기존의 공격자들은 모두 신분을 숨기며 활동하기에 정식 절차를 통해 재판에 세우기까지 많은 시간이 걸려, 이른바 로우 리스크 하이 리턴이었다면, 해당 법을 통해 공격자들에게 일종의 리스크를 지우는 것으로 보았다. 그리고 이러한 의견에 필자도 동의한다. 해커도 공격당할 수 있다는 리스크가 일종의 불안심리, 특히 툴 키디 등 저수준의 기술로 공격을 일삼는 이들에게 위협으로 다가올 수도 있지 않을까?

또한 보안뉴스에서는 해커의 공격을 무력화하는 방법으로 허니팟을 제안했는데, 가짜 서버나 정보들로 공격자를 유도하는 것을 말한다. 가짜 서버나 정보들도 결국 IT자산이기 때문에 이를 공격함으로써 정당방위로서의 hacking back이 가능하지 않을까?

해당 법률은 특히 기업 단위에서 유용할 것이라고 생각한다. 기존의 공격 전문 사이버전문가들은 본인 회사의 인프라를 모의 해킹하는 역할만이 합법적으로 수행할 수 있었는데, 해당 법률이 법제화된다면 공격 전문 사이버 전문가들이 맞대응을 위해 더욱 고용되는 경우도 생기지 않을까 상상해본다.

 

해당 법률에 대한 반대 의견도 존재한다. 필자는 찬성측이긴 하나, 반대 입장을 묵살해서는 안된다고 생각한다. 주로 좀비 PC에 의한 공격이나, 과도한 자구행위로써 사회적 파장이 큰 경우도 있을 수 있을 것이다. 또한 필자의 전문분야는 아니지만, 영미권에서는 정당방위의 범위를 넓게 인정하나, 국내에서는 아직 정당방위의 범위를 상대적으로 좁게 인정하는 경향이 있다고 느낀다. 이러한 관점에서 봤을 때 아직 국내에서 hacking back이 법제화되기까지는 오랜 시간이 걸릴 것으로 보인다.

 

필자의 생각과 현 상황을 종합적으로 정리하자면, hacking back은 특히 기업에서 해킹 리스크를 줄이는데 기여할 것이라고 생각한다. 이에 따른 공격 전문가들의 수요가 늘어날 수도 있을 것이다. 하지만 아직 국내에서 불법인 사안이며, 사회적으로 보다 논의되어야 하는 사안이다.