사이버 보안 매체 블리핑컴퓨터가 윤리적 해커를 컴퓨터 사기 및 악용법(CFAA) 위반 혐의로 기소하지 않는다는 미국 법무부의 공식 발표 소식을 전했다.
미국 법무부는 그동안 윤리적 보안 연구 과정에서 발생한 해킹이 법적 책임을 묻기 모호한 영역에 해당한 사실에 주목해, 기소하지 않기로 결정했다. 앞으로 공격 대상이 된 기기의 보안과 안전 강화 의도로 소프트웨어 테스트와 조사, 보안 결함 분석, 네트워크 침입 등과 같은 행동은 연방 검찰 기소 대상이 되지 않는다.
근본적인 취지는 프라이버시와 사이버 보안 향상이다.
리사 O. 모나코(Lisa O. Monaco) 법무차관은 “컴퓨터 보안 연구는 사이버 보안 개선을 견인하는 주요 영역이다”라며, “법무부는 높은 신뢰에 따른 컴퓨터 보안 연구 활동을 범죄로 다루는 것을 원하지 않았다. 따라서 이번 공식 발표는 대중적으로 보급된 상용화된 제품의 취약점을 제거하는 선의의 보안 연구팀에 명확한 법률 기준을 제시함으로써 사이버 보안 향상을 도울 것이다”라고 말했다.
선의의 보안 연구 적용 기준은 “순수하게 보안 결함이나 취약점을 확인할 선의의 테스트, 조사, 수정 목적으로만 컴퓨터에 접근하는 행위”이며, 개인이나 대중의 피해를 일으키지 않는 방식으로 수행해야 한다. 또, 연구 관련 활동에서 파생된 정보를 우선하여 사용해야 한다.
보안 연구를 내세워 피해를 일으킨 해킹 공격은 선의의 보안 연구에 해당하지 않는다.
윤리적 해커 불기소 정책은 컴퓨터, 네트워크, 타인의 온라인 계정 등에 악의적인 의도로 접근하는 행위에만 초점을 맞춘다. 따라서 불법 해킹 공격을 개시한 해커 세력은 윤리적 해커와 별도의 기준을 적용해 엄격히 처벌한다.
다만, 연구원의 활동이 선의인가는 연방 검찰이 직접 판단한다. 이 때문에 여전히 연구팀에는 버그 바운티 프로그램을 활용하면서 취약점 연구 지침을 얻기 위해 기업에 직접 연락해 얻는 정보를 활용할 것을 권고한다.
[저작권자ⓒ CWN(CHANGE WITH NEWS). 무단전재-재배포 금지]
