한국의 화이트해커, 왜 아직도 법을 두려워해야 하는가

“우연히 기업 사이트에서 취약점을 발견했다. 제보해야 할까, 말아야 할까?”

보안 업계에 있든, 개발자이든, 일반 이용자이든 한 번쯤 떠올려볼 법한 질문입니다.
하지만 한국에서는 이 질문 뒤에 항상 따라붙는 현실적인 고민이 있습니다.

1. 개요

 

• 제보해도 연락조차 받지 못하고 묻히는 경우가 많고
• 더 나아가 “정통망법 위반 아니냐”며 되레 법적 리스크를 걱정해야 하는 상황

결국 많은 사람들이 “그냥 모른 척하자”를 선택하게 됩니다. 그리고 그 빈자리는 해외의 블랙해커, 자동화된 봇, 랜섬웨어 조직이 차지합니다. 우리는 “착하게 행동하는 쪽이 더 위험을 지는 구조”를 방치하고 있는 셈입니다.

 

특히 「정보통신망 이용촉진 및 정보보호 등에 관한 법률(정통망법)」의 해킹·침입 관련 조항이 왜 화이트해커에게 불리하게 작용하는지, 해외는 어떻게 제도를 바꾸고 있는지, 그리고 한국에서 어떤 방향의 법 개정이 필요할지 정리해 보았습니다.

 

2. 정통망법, 선의의 제보까지 '위험'으로 만드는구조

정통망법 제48조 제1항

 

정통망법 제48조 제1항은 “누구든지 정당한 접근권한 없이 또는 허용된 접근권한을 넘어 정보통신망에 침입하여서는 아니 된다”고 규정하고 있고, 이를 위반하면 5년 이하의 징역 또는 5천만 원 이하의 벌금에 처할 수 있습니다.

문제는 이 조항이 기술·실무 현실에 비해 지나치게 포괄적이라는 것입니다.

 

1. "정당한 접근권한"의 모호함

- 로그인하지 않고도 누구나 접근 가능한 페이지에서 단순 파라미터 변경만으로 다른 사람 정보를 볼 수 있는 취약점을 찾았다고 가정해 보겠습니다.

- URL의 ?user_id=1을 ?user_id=2로 바꾸는 정도의 조작만으로도 "허용된 접근권한을 넘는 행위"에 포함될 소지가 존재

- 이 시도 자체를 "단순 확인"으로 볼 것인지, "침입"으로 볼 것인지 조문만으로는 불명확

 

2. 제보 후에도 보호 장치의 미비

- 취약점을 발견한 사람이 기업 측이 메일이나 고객센터를 통해 설명해도, 답변조차 없거나, "왜 자사의 시스템에 공격행위를 수행했냐"며 법적 조치를 운운하기도 합니다.

- 한국에는 "취약점 제보자 보호"를 명시한 법이나 제도가 없어 제보자가 스스로를 방어할 제도적 기반이 취약하다.

 

3. 결과적으로 생기는 '침묵의 인센티브'

- 발견 > 제보 > 무시 혹은 역공격(법적 위협)의 경험이 반복되면, 선의를 가졌던 사람들은 더 이상 제보하지 않습니다.

- 그 사이 취약점은 외부 스캐너나 블랙해커의 손에 먼저 들어갈 수 있습니다.

- 선의의 사람에게는 리스크만, 악의적 공격자에게는 '자유 이용권'을 제공하는 구조가 만들어집니다.

 

정통망법 제48조는 해킹을 범죄화하고 처벌하기에는 충분한 조문이지만, 선의의 연구나 제보활동을 보호하는 측면에서는 무법지대에 가깝다. 블랙해커들이 두려워해야할 법이 화이트해커들까지 제한하고 있는 아이러니함입니다.

 

3. 해외 사례: 화이트 해커 보호와 CVD 제도

 

미국이나 EU와 같은 여러 국가는 CVD(Coordinated Vulnerability Disclosure)와 VDP(Vulnerability Disclosure Policy)를 중심으로 제도를 운영하고 있습니다.

이 제도는 다음의 원칙으로 운영됩니다.

취약점 발견자, 시스템 소유자(기업), 조정자(국가/공공기관) 세 주체가

• 합의된 절차와 기한 안에서 취약점 정보를 공유, 검증, 패치하고,
• 일정 시간이 지난 후 공개 여부를 함께 논의하는 체계입니다.

여기에는 필수적으로 "선의의 취약점 탐지 행위를 법적으로 보호한다"는 전제가 포함됩니다.

버그바운티나 VDP 플랫폼(HackerOne, Bugcrowd)에서는 "이 정책을 따른 연구자에게는 민형사상 책임을 묻지 않겠다"는 Safe Harbor 조항을 명시합니다.

즉, 해외에서는 단순히 "해킹은 나쁜 행위니 처벌한다."라는 일차원적인 관점에서 벗어나, "선의의 취약점 탐지를 제도권 안으로 끌어들이는 것이 전체 보안 수준을 높인다."라는 사회적 합의에 도달한 것입니다.

 

 

4. 한국 현실: 화이트 해커는 위축되고, 해외 블랙해커는 활개 치는 구조

전세계가 그렇듯, 한국의 웹서비스(금융 · 공공 · 대형포털을 포함하여) 대부분은 해외에서도 접근 가능한 오픈 웹 서비스입니다.

이 말은 곧:

• 국내 보안 연구자와 화이트해커는 정통망법 위반 리스크를 감수해야 하고,
• 해외 블랙해커는 한국법의 실질적인 영향권 밖에서 공격을 시도할 수 있다는 뜻이기도 합니다.

물론, 국제 공조와 수사 기술이 발전했다고는 하지만,

• 다크웹 기반 랜섬웨어 조직,
• 국가 지원 해킹 그룹
• 여러 국가를 경유하는 프록시 · 봇넷을 이용한 공격에 대해 실질적인 추적 · 처벌까지 이루어지게끔 하는 것은 쉽지 않습니다.

반면,

• 국내에 거주하고,
• 실명으로 계정을 사용하고,
• 기업에 로그까지 남기며 제보하는 화이트해커는

수사기관이나 기업이 마음만 먹으면 "가장 찾기 쉬운 사람"이 됩니다.

이 비대칭 구조에서 "취약점을 발견했을 때, 가장 합리적인 선택은 침묵"이 되어버리는 지금의 상태는, 보안이라는 공공재 관점에서도, 국가 차원의 사이버 안보 전략 측면에서도 불완전하고 비효율적입니다.

 

 

5. 법 개정 필요성: "어디까지가 합법적인 보안 연구인가"의 명확화

 

"어디까지를 합법적인 보안 연구 · 취약점 탐지로 볼 것인가?"

"악의적인 공격자도 나중에는 '선의를 목적으로 한 연구였다'고 주장하면 어떻게 하나?"

"화이트해커 보호를 앞세운 불법 침입의 정당화하려는 사례 증가 우려"

 

그래서 법 개정의 방향은 "침해 행위의 자유 이용권"이 아닌 "책임있는 공유를 기반으로 한 조건부 안전장치"가 되어야 합니다.

다음 조건을 만족하는 행위를 '정당한 보안 연구'로 규정하고, 형사처벌에서 원칙적으로 제외하는 방식을 제안하고 있습니다.

 

• 시스템 소유자나 서비스 제공자를 속이거나, 금전적 이득을 요구하지 않을 것
• 데이터 유출·파괴·변조를 최소화하고, 필요한 범위에서만 접근할 것
• 취득한 개인정보·기밀정보 등을 복제·유출하지 않고, 연구·제보 목적 외로 사용하지 않을 것
• 합리적인 기간 내에 해당 취약점을 시스템 소유자 또는 국가 지정 기관(CERT/CVD 허브 등)에 신고할 것
• 시스템 운영에 실질적인 장애를 유발하는 공격(DoS, 서비스 중단 등)을 하지 않을 것

 

"침해시도", "자동화 스캐닝" 등도 개념은 법률과 판례에만 의존하고 있습니다. 하지만 실제 현장에서는 어디까지가 합법인지 명확하지 않습니다.

 

• 단순 포트 스캐닝,
• 공개된 API 엔드포인트의 파라미터 브루트포싱,
• 일반적인 취약점 스캐너의 사용 등

CVD/VDP 정책에 명시된 경우 범위를 벗어나지 않도록 주의하는 것이 가장 중요하지만, 그레이 영역에 대한 기준도 가이드라인 수준으로 수립이 필요합니다.

 

• 명시된 정책이 없는 공공·민간 웹서비스에 대한 최소 수준의 취약점 확인 행위
• 오픈소스 소프트웨어·라이브러리 취약점 분석 후 사용자에게 통보하는 경우 등

 

이 구분이 명확해질수록 화이트해커 입장에서는 “어디까지 하면 안전한가”를 판단할 수 있게 되고, 불필요한 위축 효과를 줄일 수 있습니다.

 

 

 

6. 기업도 "책임 있는 조치"의무 이행

화이트해커 보호만 이야기하면, 기업 입장에서는 “우리만 일방적으로 당하는 것 아니냐”는 반발이 나올 수 있습니다. 균형을 맞추기 위해서는 기업에도 다음과 같은 책임을 부여할 필요가 있습니다.

1. 취약점 신고 창구와 VDP 공개 의무화

• 일정 규모 이상의 정보통신서비스 제공자(또는 주요 정보통신기반시설 운영기관)는
  • 보안 취약점 신고 창구, 이메일, 양식 등을 포함한 VDP를 공개하고,
  • 신고 채널을 상시 운영하도록 의무화할 수 있습니다.

 

   2. 신고  접수·조치·공개 절차의 최소 기준 제시

• “접수 후 ○일 이내 1차 회신”,
• “취약점의 심각도에 따라 ○일 이내 패치 또는 일정 제시”,
• “취약점 제보자의 익명성 보장(원하면) 및 보복 금지” 등의 최소 기준을 행정지침 또는 법률로 규정할 수 있습니다.

이렇게 되면, 법은 단순히 화이트해커에게만 “안전지대”를 주는 것이 아니라, 기업에게도 “책임 있는 대응”을 요구하는 상호 책임 구조를 만들수 있게 됩니다.

 

7. 책임 있는 공유의 인프라

1. 행위 전·후의 ‘흔적’을 기준으로 선의 여부를 판단

• 제보 시점, 제보 내용의 구체성, 데이터 유출 여부, 금전 요구 여부, 로그 분석 등
• 객관적인 요소를 통해 선의/악의를 구별할 수 있는 기준을 수사·사법기관에 제시해야 합니다.

 

2. CVD 허브·국가 CSIRT를 통한 ‘제3자 조정’ 강화

• 신고자가 직접 기업에 연락했을 때 생길 수 있는 법적 갈등을 줄이기 위해,
• 국가 수준의 CVD 허브(KISA, 국가 CSIRT 등)를 통해 “제보 – 검증 – 조정 – 공개”가 이루어지도록 하는 구조가 필요합니다.

 

3. 고의·중대한 과실에 대해서는 여전히 강력한 처벌 유지

• 데이터 대량 유출, 랜섬웨어, 금전 탈취, 정치·사회 혼란을 목적으로 한 공격 등
• 명백한 범죄 행위에 대해서는 지금보다 더 강력한 대응도 논의할 수 있습니다.
• 단지, 그 “강력한 법” 뒤에 숨어서 선의의 연구자까지 싸잡아 위축시키지 않도록 선의/악의 구분 장치를 함께 도입하자는 것입니다.

 

8. 마치며

한국 정부는 최근 국가 차원의 사이버보안 전략을 발표하면서, 화이트해커 양성과 모의해킹 프로그램 확대를 여러 차례 언급해 왔습니다.

하지만 현실에서

• 취약점을 발견한 보안 연구자가 “제보하면 내가 잡혀가는 것 아닐까?”를 걱정해야 하고,
• 기업이 “제보자에게 감사”가 아니라 “법률팀부터 호출”하는 문화가 계속된다면,
  화이트해커 양성도, 모의해킹 훈련도 결국 보여주기 식에 그칠 수밖에 없습니다.

책임 있는 공유와 안전한 웹을 만들기 위해 필요한 것은, 기술만이 아닙니다.

1. 침해시도·보안 연구·취약점 제보의 경계를 법률적으로 명확히 하고,
2. 선의의 화이트해커를 보호하는 Safe Harbor를 정통망법 등에 명시하며,
3. 기업에도 VDP·CVD 체계 도입과 책임 있는 조치를 요구하는 것.

이 세 가지가 함께 움직일 때, 비로소

• “취약점을 발견한 사람이 가장 먼저 떠올리는 선택지가 ‘침묵’이 아닌 사회”
• “화이트해커가 법을 두려워하지 않고, 법이 화이트해커를 동료로 인정하는 사회”에 가까워질 것입니다.

현재의 법과 제도는 이미 오래전에 설계되었습니다.
이제는 현실의 공격자와 방어자의 모습을 반영해, 화이트해커를 위한 법률 개정을 진지하게 논의해야 할 때입니다.

 

 

References

- 송영진, 신상현, 장응혁, 김기범, "선의의 취약점 탐지 행위에 관한 형사법적 검토", 형사정책연구논문지 제35권 제2호 (2024)

- 이태승. "보안취약점 협력대응제도(CVD) 도입을 위한 법제화 방안 연구: 정보통신망법 중심으로" 정보보호학회논문지 34, no.4 (2024) : 781-799.doi: https://doi.org/10.13089/JKIISC.2024.34.4.781

- Safe Harbor FAQ, HackerOne, https://docs.hackerone.com/en/articles/8494502-safe-harbor-faq

Safe Harbor FAQ | HackerOne Help Center