해킹 허가받고도 체포된 보안 전문가들, 60만 달러 배상받다

60만 달러. 이것이 '허가받은 해킹'을 했다가 체포된 보안 전문가 2명이 받게 된 배상금이다.

게리 드머큐리오와 저스틴 윈은 2019년 아이오와주 법원 건물에서 공식 승인된 보안 평가 작업을 수행하던 중 체포됐다. 이들은 당시 콜로라도 소재 보안업체 코얼파이어 랩스에 소속된 침투 테스트 전문가들이었다.

허가받은 해킹, 그런데 체포

이들이 수행한 작업은 '레드팀 훈련'이라 불리는 공식적인 보안 평가였다. 실제 해커나 침입자가 사용하는 기법을 모방해 기존 보안 시스템의 취약점을 찾아내는 작업이다. 아이오와 사법부로부터 서면 승인을 받았고, 교전 규칙에는 '물리적 공격'과 '자물쇠 따기'까지 명시적으로 허용돼 있었다.

하지만 현장에서 이들을 발견한 경찰은 상황을 달리 판단했다. 공식 허가서가 있었음에도 불구하고 두 전문가는 체포됐고, 이후 부당 체포와 명예훼손을 주장하며 소송을 제기했다.

보안 업계가 주목하는 이유

이 사건이 단순한 법적 분쟁을 넘어 업계 전반에 파장을 일으키는 이유가 있다. 침투 테스트는 현대 사이버보안의 핵심 방어 수단이지만, 그 과정에서 전문가들이 겪는 법적 위험은 여전히 모호한 영역에 있기 때문이다.

국내 보안업체 관계자는 "해외 사례지만 우리에게도 시사하는 바가 크다"며 "고객사와의 계약서에 면책 조항을 더욱 명확히 해야겠다는 생각이 든다"고 말했다. 실제로 침투 테스트 과정에서는 해킹과 구분하기 어려운 행위들이 불가피하게 발생한다.

경계선에서 일하는 사람들

보안 전문가들은 본질적으로 '합법적 해커'다. 시스템을 공격하되 방어를 위해서, 침입하되 보호를 위해서 그렇게 한다. 하지만 이런 역설적 업무 특성상 오해받을 가능성은 항상 존재한다.

600,000달러라는 배상금은 단순한 금전적 보상을 넘어, 보안 업계에 대한 사회적 인식 변화의 필요성을 보여준다. 사이버 위협이 갈수록 정교해지는 상황에서, 이를 막기 위해 일하는 전문가들이 법적 불안에 시달린다면 결국 모두가 손해다.