Hacker News 의견

• 제목이 혼란스럽고 클릭베이트에 가까워 보임

  • 기사의 제목은 혼란스러우며 클릭베이트 경계에 있음. 실제로는 데이터베이스 자격증명을 노출시킨 것이 아니라, 그것을 사용해 제3자의 데이터베이스 서버에 로그인한 것이 문제가 됨. 이는 독일에서 보안 연구를 사실상 불가능하게 만든 StGB 202 ff. 형법 조항 때문에 큰 문제임.

• 독일의 보안 연구 문제

  • 독일에서는 약 20년간 보안 분야에 관심을 가진 젊은 엔지니어가 거의 없었으며, 교육받은 사람도 드뭄. 대기업들이 유능한 인재들을 모두 빨아들였고, 최고의 인재들은 해외로 떠남. 결과적으로 대부분의 독일 중소기업들이 매일 해킹을 당하고 있으며, 아무도 감사를 하지 않아 네트워크에 연결된 모든 것이 보안 위험이 됨.

• 법적 조언

  • 고등법원에서 이 사건이 기각될 것이라고 기대하는 것은 매우 순진한 생각임. 피고는 여러 법정 단계를 거치며 수년간의 시간을 낭비하게 될 것이며, 변호사 비용으로 약 10만 유로를 소모할 것임. 이 모든 것은 회사가 자신들의 데이터를 제대로 보호하지 못했기 때문임. 만약 명확한 버그 바운티 프로그램이 없거나, 자신의 회사가 아니거나, 구멍을 찾도록 고용되지 않았다면, 문제를 자신의 것으로 만들지 말 것을 조언함.

• 독일 보안 전문가들의 반응

  • 일부 경력 있는 독일 정보보안 전문가들은 이러한 상황에 너무 화가 나서, 사건이 발생해도 정부 기관을 돕기를 거부함. '고통을 통한 학습'이라는 말로 이 상황을 표현함.

• 영국의 법률과 비교

  • 독일 법률에 대해서는 확실치 않지만, 영국에서는 이것이 명백한 컴퓨터 오용 행위로 간주되어 간단한 사건으로 처리될 것임.

• 법률 개정의 필요성

  • 법률이 재작성될 필요가 있어 보임. 의도가 중요하며, 이 '해커'는 해를 끼치려고 한 것 같지 않음. 회사가 자신들의 취약점을 드러냈고, 그것을 폭로한 사람을 처벌하려 함.

• 유사 사례

  • BASE64로 암호화된 사회보장번호를 해독하는 것이 '해킹'으로 간주된 사례와 유사함.

• 네덜란드의 식품 스타트업 사례

  • PostNL과 협력하던 중, 다른 고객들의 데이터에 접근할 수 있게 되었으나, 법적 책임을 피하기 위해 이를 사용하지 않기로 결정함. 회사는 이를 법적으로 보고해야 했으나 그렇게 하지 않음.

• 보안에 대한 일반적인 태도

  • 많은 '해킹' 사례가 사람들이 전면 문을 활짝 열어놓고 방치한 것과 같음. 문을 열어놓고 도둑맞은 경우에는 동정을 받지 못하지만, 회사가 보안을 소홀히 할 때는 해커들에게 분노함.

• 선의의 법칙과 반대되는 상황

  • 문제를 발견하면 아무것도 말하지 말고, 아무것도 하지 말아야 하는 상황임. 문제가 있을 수도 있다고 생각하고 멈춘 뒤 회사 주식을 공매도하는 것이 합법일지 궁금함.

• 문제 발견 시 대처 방법

  • 문제를 발견하더라도 무시하는 것이 낫다. 비밀번호가 보이는 것을 알려주는 것조차도 위험을 감수하는 것임. 비밀번호를 사용하는 것은 더더욱 피해야 함.

• 형법 제202a조

  • '특별한 방법으로 무단 접근으로부터 보호되는 데이터에 접근하는 것'에 대해 설명하고 있으며, 클라이언트에 하드코딩된 비밀번호도 이에 해당됨.