top of page
법률정보 상세

힘을 얻어가는 정당방위적 역해킹


최근 맨디언트(Mandiant)의 보고서에 의하면, 중국의 사이버 특수부대인 PLA(중국인민해방군) 61398부대가 140여개의 미국기업을 해킹공격하면서, 그들의 영업비밀이나 산업기술을 빼내왔다고 한다.

미국 국방부는 2013년 5월 6일, 의회에 제출하는 연례보고서(Annual Report to Congress)에서 노골적으로 “중국이 인민해방군의 현대화를 촉진하고 무기 공급의 해외 의존도를 낮출 기술과 전문 지식을 얻으려고 사이버 해킹을 저질렀다”고 발표하면서 사이버해킹 공격의 근원지로서 중국 정부와 군을 지적하였다.

그 어느 때보다 미국 기업이나 공공기관의 중국 해킹에 대한 불만이 커져가고 있다. 이러한 불만은 일부 법조인 및 정보보안가를 중심으로, 수동적으로 방어를 하는 것만으로는 빈번한 해킹공격에 대비하여 자신의 재산을 지키기에는 부족하므로, 능동적인 역해킹(hacking back, counterhacking, active defence)을 허용해야 한다는 논쟁으로 번져가고 있다. 이 문제는 2013 RSA 컨퍼런스에서도 중요하게 다루어졌었다.

더불어 오바마 미 대통령의 초대 국가정보국장 데니스 블레어가 속한 지적재산권 위원회(IP Commission)가 금년에 작성한 보고서(The IP Commission report)에도 ‘공격자 무력화를 위한 조치가 필요하며, 이로 인하여 해킹과정에서 발생하는 비용이 증가할 것이고, 그 결과 공격자는 해킹을 주저할 것이다’는 취지의 언급이 있었다.

이른바 정당방위(self-defence) 이론을 역해킹에 도입하여, 역해킹을 정당화시켜보자는 시도이다.

해킹, 해커, 사이버공격 정당방위는 타인의 현재의 부당한 침해가 있는 때, 침해를 당하는 사람이 자신을 지키기 위해 불가피하다면 침해자에 대하여 가해행위도 할 수 있다는 법이론이다. 이를 역해킹에 대입하면, 해커의 공격이 있는 동안, 자신을 지키기 위해 불가피하다면 역으로 해킹을 할 수 있다. 여기서 정당방위 이론의 핵심은 ▽ 불가피한 상황, ▽ 역공의 상당성이다.

역해킹의 방법은 여러 가지가 존재할 수 있다. 기본적인 것으로 공격자 및 공격사이트에 대한 정보수집이 있다. 그리고 공격을 저지ㆍ중단시키는 조치, 원격접속(RAT)의 무력화, 유출된 정보가 스스로 파괴되도록 하는 조치, 해커의 사이트로 들어가 데이터를 지우는 조치 등등.

전통적으로 이러한 여러 가지 형태의 역해킹은 불법으로 규정지어져 왔고 현재에도 여전히 이런 사고가 대부분의 사람들의 머릿속에 강하게 남아 있는 상황에서, 일부 법조인 및 보안전문가의 역해킹 합법화 시도는, 분명 오래된 주제이지만 새로운 시도임에 틀림없다.

이 역해킹 합법화 논쟁의 중심 이슈는 자경주의(vigilantism)와 디지털 정당방위(digital self-defence)이다. 즉 국가에서 제공하는 경찰시스템이 있는데 사적으로 보복을 할 수 있는지, 그리고 디지털 세계에서도 오프라인 세계처럼 정당방위가 인정될 수 있는지이다.

역해킹에 대한 긍정적인 주장는 미국에서만의 현상은 아니다. 네덜란드에서는 금년 3월경, 정부기관이 용의자의 컴퓨터에 침투하거나 해킹을 할 수 있는 이른바 역해킹 법안이 제출된 적이 있다.

그러나 이들이 넘어야 할 산이 크다. 미국 컴퓨터사기방지법(CFAA, Computer Fraud and Abuse Act) 및 법무부 사이버범죄 매뉴얼에 따르면, 허가 없는 접근 및 역해킹은 명백하게 불법으로 규정되어 있기 때문이다. 역해킹으로 인하여 해커의 컴퓨터가 아닌 무고한 경유지 컴퓨터 소유자가 피해를 볼 수 있다는 이유에서이다.

역해킹에 대한 반대 여론도 만만치 않다. 다수의 전문가들은 ‘보복공격은 미국의 사이버안전을 해칠 것이며, 국제법 위반이라는 비난을 면치 못할 것이다. 그리고 해커를 자극하여 더 큰 공격의 결과를 가져올 것이다’라고 비판하고 있다.

줄지 않고 늘어만 가는 사이버해킹의 피해자나 피해기업, 자꾸만 커져가는 해커의 탐욕과 급속도로 진화하고 있는 해킹기술이 있는 한, 역해킹 합법화 논쟁은 점점 뜨거워질 것으로 보인다.

우리나라에서도 일부 전문가들은 ‘역해킹’의 필요성을 언급하고 있다. 하지만 법적인 기반 없이 단순한 현실적 필요성에서 역해킹을 시도한다면 범죄자로 낙인찍힐 수 있으므로, 충분하고 신뢰성 있는 법적 검토가 반드시 선행되어야 할 것이다.


* 법무법인 민후 김경환 대표변호사 작성, 보안뉴스(2013. 6. 14.), 법률신문(2014. 12. 29.), 리걸인사이트(2016. 2. 17.) 기고.

최근 게시물

​태그 모음

bottom of page