보안 전문가들을 법적으로 보호하기 위한 움직임, 독일에서 일어나고 있다
보안 전문가들을 법적으로 보호하기 위한 움직임, 독일에서 일어나고 있다
최근 독일 의회에서는 컴퓨터 범죄법을 현대화 하려는 움직임이 생겨나고 있다. 이미 초안이 제출된 상황이고, 이것을 바탕으로 보안 전문가들의 취약점 연구가 법적으로 보다 안전해지도록 하
www.boannews.com
- 법안 배경
- 보안 연구는 본질적으로 비인가 접근과 같은 행위를 포함할 수밖에 없음
- 현행법에 따라 보안 전문가들이 취약점 연구 중 법적 처벌을 받는 사례가 빈번
- 독일 정부는 이러한 문제를 해결하기 위해 컴퓨터 범죄법 현대화를 추진
- 법안 주요 내용
- "사회적 이익을 위한 행위는 법적으로 위축되지 않아야 한다"는 원칙 명시
- 보호받는 행위와 처벌 대상 행위를 명확히 구분
- 보안 연구 목적의 비인가 접근은 처벌 대상에서 제외
- 보안 취약점 확인 후 관련 기관이나 책임자에게 통보한 경우
- 학술적, 상업적 보안 연구를 포함
- 형벌 대상 확대
- 주요 사회 기반 시설에 심각한 피해를 초래한 경우
- 상습적이거나 이익을 추구하는 조직적 행위
- 신고 절차 간소화 및 연구 결과의 책임 있는 보고 의무화
- 법적 쟁점 및 개정 필요 사항
- 202a 형법: 비인가 데이터 접근 자체를 범죄로 간주하던 기존 규정에서 보안 연구의 선의를 고려하는 방향으로 개정
- 재물 손괴 조항(303조): 보안 연구와 범죄 행위를 구분하는 기준 명확화
- 영업 비밀 보호법: 연구 중 영업 비밀 접근 시, 공익적 목적과 의도를 고려해 판단
- 역공학: 제품 분석 과정에서 발생하는 법적 충돌 해결 필요
- 저작권법: 소프트웨어 취약점 연구 시 발생할 수 있는 저작권 침해 문제에 대한 명확한 기준 필요
- 미국 사례
- 오하이오 주에서 랜섬웨어 공격 관련 데이터를 공개한 보안 전문가가 처벌 위기에 처함
- 공개 행위가 시민 보호를 목적으로 이루어졌으나 법적 제재를 받음
- 보안 전문가의 선의를 평가하는 법적 기준이 부재한 문제점 부각
- 결론
- 보안 전문가들의 활동이 법적 안전망 안에서 이루어질 수 있도록 제도 개선이 필요
- 보안 연구의 선의를 평가하고 이를 법적으로 보호하기 위한 명확한 기준 마련 필수
- 독일 법안은 전 세계적으로 보안 연구의 자율성과 책임성 간 균형을 맞추는 모델로 작용할 가능성이 있음
- 보안 연구 활성화와 악성 행위 억제를 동시에 고려한 법적 장치가 요구됨
'Kant's IT > Issue on IT&Security' 카테고리의 다른 글
| 일본항공(Japan Airlines), 사이버 공격으로 연말 항공편 지연 (1) | 2024.12.29 |
|---|---|
| 라자루스, 브라질 핵 관련 기관 대상 사이버 공격 (1) | 2024.12.28 |
| 사이버 보안 준수 기업에 대한 민사상 면책 법률 프레임워크 (0) | 2024.12.28 |
| 2025년 주목해야 할 사이버 보안 트렌드 10가지 (1) | 2024.12.28 |
| 북한 연계 해커의 암호화폐 탈취 활동 급증 (1) | 2024.12.27 |