나는 취약점을 발견했다. 그들은 변호사를 찾았다

• 다이빙 강사이자 플랫폼 엔지니어인 작성자가 다이빙 보험사 회원 포털의 심각한 보안 취약점을 발견함
• 포털이 순차적 사용자 ID와 동일한 기본 비밀번호를 사용해, 누구나 단순한 조합으로 다른 회원의 개인정보에 접근 가능했음
• 문제를 CSIRT Malta와 해당 기관에 동시에 신고했으나, 기관은 감사 대신 법률 대리인을 통해 형사 책임 가능성을 경고함
• 작성자는 비밀유지 서약(NDA) 요구를 거부하고, 데이터 삭제만 확인하는 수정 선언문을 제안했으나 기관은 명예 훼손 가능성을 이유로 재차 위협함
• 사건은 책임 있는 취약점 공개 절차의 중요성과 법적 위협이 연구자 보호를 위축시키는 현실을 드러냄

취약점 발견

• 코스타리카 코코스섬 다이빙 여행 중, 다이빙 보험사 회원 포털의 구조적 결함을 발견
  • 강사가 학생을 등록하면 시스템이 순차적 숫자 ID와 변경되지 않는 기본 비밀번호를 생성
  • 다수 사용자가 비밀번호를 변경하지 않아 다른 회원의 전체 개인정보(이름, 주소, 생년월일, 연락처 등)에 접근 가능
• 비밀번호 변경 강제, 로그인 제한, MFA 등 기본 보안 조치가 전혀 없었음
• 일부 계정에는 미성년자(14세) 의 정보도 포함되어 있었음
• 작성자는 최소한의 접근으로 문제를 확인 후 즉시 중단하고, 모든 수집 데이터는 영구 삭제함

검증 및 증명

• Python requests로 시도했으나 세션 구조가 복잡해 Selenium을 이용한 브라우저 자동화로 검증
  • 단순히 사용자 ID와 기본 비밀번호를 입력하면 로그인 가능
  • 자동화 스크립트는 비기능적 예시 코드로 공개되어 있으며, 실제 식별자는 모두 삭제됨
• 출력 예시에는 이름, 이메일, 주소, 생년월일 등 전체 프로필 데이터가 포함됨
• 이 과정에서 여러 미성년자 계정이 동일한 방식으로 노출됨이 확인됨

취약점 공개 절차

• 2025년 4월 28일에 취약점을 공식 보고하고, 30일의 수정 유예 기간을 설정
• CSIRT Malta와 해당 기관에 동시에 이메일로 통보
  • 보고서에는 문제 요약, GDPR 위반 가능성, 스크린샷, 암호화된 PoC 링크 포함
  • 7일 내 접수 확인, 30일 내 수정 요청
• 이는 국가 취약점 공개 정책(NCVDP) 에 부합하는 표준 절차

기관의 대응

• 이틀 후, IT팀이 아닌 데이터 보호 담당 변호사(DPO 법률사무소) 로부터 회신
  • 비밀번호 초기화와 2FA 도입을 언급했으나, 정부 기관에 먼저 알린 점을 문제 삼음
  • 작성자의 행위가 몰타 형법상 범죄일 수 있다며 법적 책임 가능성을 경고
• 기관은 비밀유지 선언문 서명을 요구하며, 여권 사본 제출과 당일 서명 기한을 제시
  • 선언문에는 “이 선언의 내용을 비밀로 유지한다”는 조항 포함, 사실상 NDA(비밀유지계약) 형태
• 이후 “친절한 알림”, “긴급 알림” 등 반복적 서명 요청이 이어짐

연구자의 거부와 반박

• 작성자는 비밀유지 조항 서명 거부, 대신 데이터 삭제 확인만 포함한 수정 선언문 제안
  • CSIRT Malta 통보는 공식 절차의 일부이며, 공개 후 분석은 보안 업계의 표준 관행임을 명시
• 기관은 형법 제337E조(컴퓨터 남용) 를 인용하며, 해외에서 행해진 행위도 몰타 내 범죄로 간주될 수 있다고 경고
• 또한 블로그나 컨퍼런스에서 기관명을 언급할 경우 명예 훼손 및 손해배상 청구 가능성을 통보
• 현재 취약점은 수정되었으며, 기본 비밀번호 초기화 및 2FA 도입이 진행 중
• 그러나 GDPR 제33·34조에 따른 피해자 통보 여부는 확인되지 않음

책임 전가와 GDPR 위반

• 기관은 “비밀번호 변경은 사용자 책임”이라 주장
• 그러나 GDPR 제5(1)(f) 와 제24(1) 에 따라 데이터 컨트롤러가 적절한 기술·관리적 조치를 취해야 함
• 동일한 기본 비밀번호와 순차적 ID는 명백히 부적절한 보안 조치에 해당

반복되는 패턴

• 보안 연구자가 취약점을 책임 있게 공개하면 법적 위협을 받는 ‘냉각 효과(Chilling Effect)’ 가 여전히 존재
• 법률 대응은 오히려 평판을 악화시키며, 문제는 취약점 자체가 아니라 조직의 대응 방식임

올바른 대응 절차

• 보고 접수 및 수정
• 연구자에 대한 감사 표시
• CVD(Coordinated Vulnerability Disclosure) 정책 수립
• 피해 사용자 통보, 특히 미성년자 보호
• NDA로 침묵 강요 금지

조직과 연구자를 위한 조언

• 조직은 security.txt 등 명확한 공개 절차를 마련하고, 연구자에게 감사해야 함
• 연구자는 국가 CSIRT 참여, 모든 기록 보존, 데이터 삭제 후 비밀유지 거부를 실천해야 함
• NIS2 지침은 EU 내에서 책임 있는 취약점 공개를 장려함
• 여전히 2026년에도, 단순한 취약점 제보가 법적 위협으로 이어지는 현실이 존재함