해킹 허가받고도 체포된 보안 전문가들, 60만 달러 배상받다
법원의 공식 허가를 받고 침투 테스트를 수행한 보안 전문가 2명이 체포된 후 배상금을 받게 된 사건. 사이버보안 업계에 던지는 메시지는?
60만 달러. 이것이 '허가받은 해킹'을 했다가 체포된 보안 전문가 2명이 받게 된 배상금이다.
게리 드머큐리오와 저스틴 윈은 2019년 아이오와주 법원 건물에서 공식 승인된 보안 평가 작업을 수행하던 중 체포됐다. 이들은 당시 콜로라도 소재 보안업체 코얼파이어 랩스에 소속된 침투 테스트 전문가들이었다.
허가받은 해킹, 그런데 체포
이들이 수행한 작업은 '레드팀 훈련'이라 불리는 공식적인 보안 평가였다. 실제 해커나 침입자가 사용하는 기법을 모방해 기존 보안 시스템의 취약점을 찾아내는 작업이다. 아이오와 사법부로부터 서면 승인을 받았고, 교전 규칙에는 '물리적 공격'과 '자물쇠 따기'까지 명시적으로 허용돼 있었다.
하지만 현장에서 이들을 발견한 경찰은 상황을 달리 판단했다. 공식 허가서가 있었음에도 불구하고 두 전문가는 체포됐고, 이후 부당 체포와 명예훼손을 주장하며 소송을 제기했다.
보안 업계가 주목하는 이유
이 사건이 단순한 법적 분쟁을 넘어 업계 전반에 파장을 일으키는 이유가 있다. 침투 테스트는 현대 사이버보안의 핵심 방어 수단이지만, 그 과정에서 전문가들이 겪는 법적 위험은 여전히 모호한 영역에 있기 때문이다.
국내 보안업체 관계자는 "해외 사례지만 우리에게도 시사하는 바가 크다"며 "고객사와의 계약서에 면책 조항을 더욱 명확히 해야겠다는 생각이 든다"고 말했다. 실제로 침투 테스트 과정에서는 해킹과 구분하기 어려운 행위들이 불가피하게 발생한다.
경계선에서 일하는 사람들
보안 전문가들은 본질적으로 '합법적 해커'다. 시스템을 공격하되 방어를 위해서, 침입하되 보호를 위해서 그렇게 한다. 하지만 이런 역설적 업무 특성상 오해받을 가능성은 항상 존재한다.
600,000달러라는 배상금은 단순한 금전적 보상을 넘어, 보안 업계에 대한 사회적 인식 변화의 필요성을 보여준다. 사이버 위협이 갈수록 정교해지는 상황에서, 이를 막기 위해 일하는 전문가들이 법적 불안에 시달린다면 결국 모두가 손해다.
기자
관련 기사
영국 비자 신청 대행 사이트 'UK Visa Portal'에서 10만 건 이상의 여권 사진과 셀피가 외부에 노출됐다. 피해자들은 공식 정부 사이트로 착각하고 개인정보를 제출했다.
주당 3억 2500만 번 다운로드되는 오픈소스 프레임워크 Starlette에서 치명적 보안 취약점이 발견됐다. MCP 서버를 통해 AI 에이전트가 보관 중인 자격증명과 민감 데이터가 무방비 상태로 노출될 수 있다.
GitHub 내부 코드 저장소 3,800개가 해킹됐다. VS Code 확장 프로그램을 통한 공급망 공격의 실체와, 개발자 생태계 전반이 새로운 표적이 된 이유를 분석한다.
Dirty Frag' 취약점이 리눅스 전 배포판에서 루트 권한 탈취를 허용한다. 익스플로잇 코드가 공개된 지 3일, 마이크로소프트는 이미 실제 공격 시도를 포착했다.
영국 비자 신청 대행 사이트 'UK Visa Portal'에서 10만 건 이상의 여권 사진과 셀피가 외부에 노출됐다. 피해자들은 공식 정부 사이트로 착각하고 개인정보를 제출했다.
주당 3억 2500만 번 다운로드되는 오픈소스 프레임워크 Starlette에서 치명적 보안 취약점이 발견됐다. MCP 서버를 통해 AI 에이전트가 보관 중인 자격증명과 민감 데이터가 무방비 상태로 노출될 수 있다.
GitHub 내부 코드 저장소 3,800개가 해킹됐다. VS Code 확장 프로그램을 통한 공급망 공격의 실체와, 개발자 생태계 전반이 새로운 표적이 된 이유를 분석한다.
Dirty Frag' 취약점이 리눅스 전 배포판에서 루트 권한 탈취를 허용한다. 익스플로잇 코드가 공개된 지 3일, 마이크로소프트는 이미 실제 공격 시도를 포착했다.
의견
이 기사에 대한 생각을 나눠주세요
로그인하고 의견을 남겨보세요