[손승우의 지식재산통찰] 보안 취약점 찾으면 범죄자?

한 대학생 보안 연구자가 유명 기업의 웹서비스에서 개인정보 유출 가능성을 발견했다. 실제 공격을 한 것도, 정보를 외부로 반출한 것도 아니었다. 단지 취약점이 존재하는지 확인했을 뿐이다. 이를 기업에 알리려 했지만 돌아온 것은 감사가 아닌 경고였다. 결국 신고를 포기했다. 이 장면은 낯설지 않다. 지금 한국에서는 ‘선의’의 보안 연구자조차 법적 보호를 기대하기 어렵기 때문이다.

현행 ‘정보통신망법’은 정당한 접근권한 없이 정보통신망에 접근하는 행위를 원칙적으로 금지한다. 문제는 취약점 확인 과정이 ‘무단 접근’으로 평가될 가능성을 배제하기 어렵다는 점이다. 기업이 충분한 보호조치를 두지 않은 경우, 이를 곧바로 ‘무단 접근’으로 단정하기 어렵다고 본 판례도 있다. 그러나 이는 어디까지나 사후적·개별적 판단일 뿐이다. 보안 연구자 입장에서는 자신의 행위가 합법인지 사전에 확신할 수 없다.

물론 우리 법제는 취약점 신고를 장려한다. 신고자에게 포상금을 지급할 수 있다. 그러나 발견은 권장하면서도, 발견 과정은 여전히 위법의 경계에 두는 구조라면 보안 연구자는 움직이기 어렵다. 결국 가장 안전한 선택은 침묵이다. 기업 역시 취약점이나 침해사고의 공개를 꺼린다. 평판과 법적 책임에 대한 부담 때문이다. 이런 상황에서 보안 연구자까지 취약점 발견을 외면한다면, 시스템의 약점은 누구도 모르는 상태로 남게 된다. 공격자는 알고, 방어자는 모르는 비대칭 구조가 만들어진 셈이다.

해외는 다르게 접근한다. 미국은 선의의 보안 연구를 명확히 구별하고, 공익적 목적의 취약점 탐지 행위에 대해서는 원칙적으로 형사기소를 자제하는 정책을 한다. 또한 연방기관은 취약점 신고 정책(VDP)을 마련해 화이트해커의 접근과 신고를 제도적으로 수용하고 있다. 유럽연합 역시 협력 중심의 구조를 제도화하고 있다. NIS2 지침은 취약점 신고와 조정을 위한 공적 체계를 요구하고, ‘사이버복원력법(CRA)’은 기업에게 취약점 관리와 공개(CVD) 책임을 부과한다. 핵심은 취약점 발견을 억제하는 것이 아니라, 발견 이후의 처리 과정을 제도 안으로 끌어들이는 데 있다.

한국도 변화의 필요성을 인식하고, 지난 2월 25일 CVD·VDP 도입 로드맵을 발표했다. 그러나 제도의 실효성을 위해서는 보다 근본적인 전환이 필요하다. 첫째, 정보통신망법 개정을 통해 선의의 해킹에 대한 명확한 면책 또는 책임제한 규정을 도입해야 한다. 연구목적, 피해 최소화, 적시 신고 등의 요건을 충족하는 경우 형사책임을 제한하는 구조가 필요하다. 둘째, 화이트해커-기업-정부 간 협력체계를 제도적으로 구축해야 한다. 취약점 발견·신고·조치·공개 전 과정을 투명하게 연결하고, 각 주체의 역할과 책임을 명확히 해야 한다. 셋째, 취약점 신고 절차와 공개 기준을 명확히 하고, 신고자 보호와 보상 체계를 강화해 협력을 유도해야 한다.

보안은 규제로만 지켜지지 않는다. 취약점을 알려주는 보안 연구자를 범죄자로 취급하는 한, 우리는 보안을 스스로 약화시킨다. 이제 질문을 바꿔야 한다. 누가 위험을 감수하고 우리 시스템의 약점을 알려줄 것인가. 그리고 우리는 그들을 어떻게 볼 것인가.