카운티가 법원 보안 점검 중 체포된 모의해킹 전문가들에게 60만 달러를 지급

• 2019년 아이오와주 법원 보안 점검 중 체포된 보안 전문가 두 명이 부당 체포 및 명예훼손 소송에서 60만 달러 합의금을 받게 됨
• 두 사람은 Coalfire Labs 소속 침투테스터로, 아이오와 사법부의 공식 허가를 받은 ‘레드팀’ 모의침입 테스트를 수행 중이었음
• 테스트는 물리적 공격(자물쇠 따기 등) 을 포함하도록 명시되어 있었으나, 현지 보안당국은 이를 중범죄 절도 혐의로 체포함
• 이후 경범죄 무단침입으로 혐의가 낮춰졌지만, 달라스 카운티 보안관은 여전히 불법행위라 주장하며 공개 비난을 이어감
• 이번 사건은 보안 전문가들이 합법적 테스트 중 체포될 수 있다는 경고로 받아들여지며, 물리적 침투테스트 절차 전반에 중대한 변화를 촉발함

사건 개요

• 2019년, Gary DeMercurio와 Justin Wynn은 아이오와주 달라스 카운티 법원에서 공식 승인된 보안 점검을 수행 중 체포됨
  • 두 사람은 콜로라도 기반 보안업체 Coalfire Labs 소속으로, 아이오와 사법부의 서면 허가를 받아 ‘레드팀’ 모의침입을 진행 중이었음
  • 해당 테스트는 실제 범죄자나 해커의 침입 방식을 모방해 보안 방어체계의 내구성을 점검하는 목적이었음
• 규정상 물리적 공격(자물쇠 따기 등) 이 허용되어 있었으며, 단 중대한 손상을 초래하지 않는 범위로 제한되어 있었음

체포와 법적 대응

• 두 사람은 중범죄 3급 절도 혐의로 체포되어 20시간 구금, 각각 5만 달러 보석금으로 석방됨
• 이후 혐의는 경범죄 무단침입으로 낮춰졌으나, 달라스 카운티 보안관 Chad Leonard는 여전히 불법행위라 주장하며 공개 비난을 지속함
• 두 사람은 부당 체포 및 명예훼손을 이유로 소송을 제기했고, 사건 발생 6년 후 60만 달러 합의금을 받게 됨

사건의 영향

• Wynn은 “이 사건은 누구도 더 안전하게 만들지 않았다”며, 정부의 취약점 점검을 돕는 행위가 체포와 기소, 명예훼손으로 이어질 수 있다는 냉각 효과를 남겼다고 언급
• 이러한 평판 손상은 보안 전문가의 경력에 치명적일 수 있으며, 고객사 역시 위험을 인식하게 됨
• 사건 이후 물리적 침투테스트 절차와 승인 체계에 중대한 변화가 발생함

사건 당시 상황

• 2019년 9월 11일 새벽, 두 사람은 법원 측면 출입문이 잠기지 않은 상태를 발견하고 문을 닫아 잠근 뒤, 틈새를 통해 잠금장치를 해제하여 진입함
• 진입 직후 경보가 울려 경찰이 출동, 체포로 이어짐
• 기사에서는 “이 사건이 통제 불능으로 번진 이유는 보안관의 대응 때문이며, 대부분의 지역에서는 이런 경우 무혐의 처리되었을 것”이라는 설명이 포함됨

보안 업계의 반응

• 사건은 보안 및 법집행 관계자들 사이에서 큰 논란을 일으킴
• 합법적 계약 하의 테스트조차 형사처벌 위험에 노출될 수 있음을 보여주며, 보안업계 전반의 경각심을 불러일으킴
• 결과적으로 물리적 모의해킹의 승인 절차와 법적 보호 장치 강화 필요성이 부각됨