당시 이 사건이 얼마나 어이없었는지 기억남. 보안관은 해임되어야 한다고 생각하지만, 달라스 카운티의 무능에 대해 1년에 10만 달러씩 배상받은 건 그나마 나은 결과임
이런 게 바로 내가 Hacker News에서 보고 싶은 이야기임
혐의가 취하되어 다행이지만, 원래의 보도 내용을 보면 사건이 기사에서 보인 것보다 훨씬 복잡한 맥락이 있었음
2019년의 Ars Technica 기사를 보면,
경찰이 허가서에 적힌 연락처로 전화했을 때, 한 명은 “물리적 침입은 승인하지 않았다”고 부인했고, 다른 한 명은 전화를 받지 않았음. 이런 상황에서 경찰이 어떻게 해야 했을지 의문임
계약서에는 “문을 강제로 열지 말라”는 모호한 문구가 있었는데, 두 사람은 잠긴 문을 도구로 열었다고 진술함. 문구가 더 구체적이어야 했음
“경보 조작 금지” 조항이 있었지만, 경찰은 그들이 경보를 조작하려 했다고 주장함. 두 사람은 부인함
침입 전 음주가 있었다는 점도 문제임. 혈중알코올농도 0.05였으니 시작할 때는 더 높았을 것임
경보가 울리고 경찰이 왔을 때 즉시 신분을 밝히지 않고 숨었다는 점도 계약 범위를 벗어남
결론적으로 보안관의 과잉 대응은 잘못이지만, 펜테스터들도 완전히 교과서적인 행동을 한 것은 아니었음
예전에 이런 물리적 침투 테스트를 수행했는데, 우리는 항상 담당자의 개인 연락처와 서명된 작업 명세서를 지참했음. 비상 연락이 닿지 않는 상황은 상상도 못 했음.
음주나 재산 손괴는 절대 금지였고, 경찰이 총을 들고 나타나면 절대 숨지 않았음.
이런 테스트는 위험하기 때문에, 전직 군인이나 경찰 출신을 팀에 포함시켜 안전을 확보했음
물론, 만약 내가 법원 침입 테스트를 해야 했다면, 솔직히 긴장을 풀기 위해 맥주 한두 잔은 마셨을지도 모르겠음.
기사에 따르면 “물리적 공격”과 “자물쇠 따기”는 허용되었고, 실제로는 잠긴 문을 비손상 방식으로 열었다고 함
펜테스터에게도 일부 책임이 있지만, 경찰의 진술이 항상 정확하거나 정직한 것은 아니기에 완전히 믿기 어렵다고 생각함
결국 이런 상황은 몇 시간 안에 해결됐어야 했음. 법원과 카운티 간의 권력 다툼 때문에 일이 커졌고, 변호사가 있었다면 그날 밤 바로 “이건 비싼 대가를 치를 일”이라 경고했을 것임
참고로, 경찰이 60만 달러에 합의했지, 단순히 기각된 건 아님
공공 부문은 “일할 사람을 못 구하겠다”고 하면서도 이런 일을 벌임. 게다가 그 보안관은 선출직이었을 가능성이 큼
앞으로 이런 상황에 처할 사람이라면, 반드시 서면·전화·대면으로 지역 경찰에 사전 통보해야 함
경찰의 사전 승인이나 no-objection letter를 받아두는 게 안전함. 변호사에게도 모든 문서를 공유해야 함. 세상은 친절하지 않음
이들은 주 법원으로부터 서면 허가와 구두 확인을 받았지만, 사법부와 보안관 간의 알력을 예상하지 못했음
실제로 경찰관들은 올바르게 대응했음. 신분 확인 후 바로 풀어줬고, 문제는 나중에 나타난 보안관 한 명이 일을 키운 것임
하지만 현실적으로 경찰은 신고가 들어오면 무조건 출동해 상황을 파악함. 예전에 사격장 운영 시에도 비슷한 경험이 있었음. 결국 “신고가 들어오면 출동한다”는 게 전부였음
물론, 사전에 경찰에 알리면 테스트의 진정성이 떨어질 수도 있음
주 정부가 카운티의 보안 수준을 평가하려는 목적이라면, 사전 통보는 오히려 검증 무효를 초래할 수 있음. 보안관의 반응은 뭔가 감추려는 의심을 불러일으킴
합의로 끝난 게 아쉬움. 원고들이 더 싸우고 싶지 않았던 건 이해하지만, 보안관의 권력 남용은 반드시 처벌받았어야 함
Hacker News 의견들
경찰이 현장에 와서 남자들을 붙잡고, 그들이 제시한 공식 허가서를 확인한 뒤 담당자에게 전화까지 걸어 모든 게 정상임을 확인했음
그런데 보안관이 도착하자마자 체포를 지시했음. 결국 문제는 상황을 이해하지 못한 단 한 사람, 그것도 권한자였음
이 사건이 처음 일어났을 때 기사를 읽었던 기억이 있음. 그래도 결과가 어느 정도 긍정적 결말로 끝나 다행임
참고로 체포 직후의 HN 스레드는 여기에 있음
사건은 2019년에 일어났고, 정의의 수레바퀴는 정말 느리게 굴러감
당시 이 사건이 얼마나 어이없었는지 기억남. 보안관은 해임되어야 한다고 생각하지만, 달라스 카운티의 무능에 대해 1년에 10만 달러씩 배상받은 건 그나마 나은 결과임
이런 게 바로 내가 Hacker News에서 보고 싶은 이야기임
혐의가 취하되어 다행이지만, 원래의 보도 내용을 보면 사건이 기사에서 보인 것보다 훨씬 복잡한 맥락이 있었음
2019년의 Ars Technica 기사를 보면,
결론적으로 보안관의 과잉 대응은 잘못이지만, 펜테스터들도 완전히 교과서적인 행동을 한 것은 아니었음
음주나 재산 손괴는 절대 금지였고, 경찰이 총을 들고 나타나면 절대 숨지 않았음.
이런 테스트는 위험하기 때문에, 전직 군인이나 경찰 출신을 팀에 포함시켜 안전을 확보했음
기사에 따르면 “물리적 공격”과 “자물쇠 따기”는 허용되었고, 실제로는 잠긴 문을 비손상 방식으로 열었다고 함
공공 부문은 “일할 사람을 못 구하겠다”고 하면서도 이런 일을 벌임. 게다가 그 보안관은 선출직이었을 가능성이 큼
앞으로 이런 상황에 처할 사람이라면, 반드시 서면·전화·대면으로 지역 경찰에 사전 통보해야 함
경찰의 사전 승인이나 no-objection letter를 받아두는 게 안전함. 변호사에게도 모든 문서를 공유해야 함. 세상은 친절하지 않음
합의로 끝난 게 아쉬움. 원고들이 더 싸우고 싶지 않았던 건 이해하지만, 보안관의 권력 남용은 반드시 처벌받았어야 함