# 카운티가 법원 보안 점검 중 체포된 모의해킹 전문가들에게 60만 달러를 지급

> Clean Markdown view of GeekNews topic #26261. Use the original source for factual precision when an external source URL is present.

## Metadata

- GeekNews HTML: [https://news.hada.io/topic?id=26261](https://news.hada.io/topic?id=26261)
- GeekNews Markdown: [https://news.hada.io/topic/26261.md](https://news.hada.io/topic/26261.md)
- Type: GN+
- Author: [neo](https://news.hada.io/@neo)
- Published: 2026-01-31T00:33:25+09:00
- Updated: 2026-01-31T00:33:25+09:00
- Original source: [arstechnica.com](https://arstechnica.com/security/2026/01/county-pays-600000-to-pentesters-it-arrested-for-assessing-courthouse-security/)
- Points: 1
- Comments: 1

## Topic Body

- 2019년 아이오와주 법원 보안 점검 중 체포된 **보안 전문가 두 명**이 부당 체포 및 명예훼손 소송에서 **60만 달러 합의금**을 받게 됨  
- 두 사람은 **Coalfire Labs 소속 침투테스터**로, 아이오와 사법부의 **공식 허가를 받은 ‘레드팀’ 모의침입 테스트**를 수행 중이었음  
- 테스트는 **물리적 공격(자물쇠 따기 등)** 을 포함하도록 명시되어 있었으나, 현지 보안당국은 이를 **중범죄 절도 혐의**로 체포함  
- 이후 **경범죄 무단침입**으로 혐의가 낮춰졌지만, **달라스 카운티 보안관**은 여전히 불법행위라 주장하며 공개 비난을 이어감  
- 이번 사건은 **보안 전문가들이 합법적 테스트 중 체포될 수 있다는 경고**로 받아들여지며, 물리적 침투테스트 절차 전반에 **중대한 변화**를 촉발함  

---

### 사건 개요
- 2019년, **Gary DeMercurio**와 **Justin Wynn**은 아이오와주 달라스 카운티 법원에서 **공식 승인된 보안 점검**을 수행 중 체포됨  
  - 두 사람은 **콜로라도 기반 보안업체 Coalfire Labs** 소속으로, 아이오와 사법부의 서면 허가를 받아 **‘레드팀’ 모의침입**을 진행 중이었음  
  - 해당 테스트는 실제 범죄자나 해커의 침입 방식을 모방해 **보안 방어체계의 내구성**을 점검하는 목적이었음  
- **규정상 물리적 공격(자물쇠 따기 등)** 이 허용되어 있었으며, 단 **중대한 손상**을 초래하지 않는 범위로 제한되어 있었음  

### 체포와 법적 대응
- 두 사람은 **중범죄 3급 절도 혐의**로 체포되어 **20시간 구금**, 각각 **5만 달러 보석금**으로 석방됨  
- 이후 혐의는 **경범죄 무단침입**으로 낮춰졌으나, **달라스 카운티 보안관 Chad Leonard**는 여전히 불법행위라 주장하며 **공개 비난**을 지속함  
- 두 사람은 **부당 체포 및 명예훼손**을 이유로 소송을 제기했고, 사건 발생 6년 후 **60만 달러 합의금**을 받게 됨  

### 사건의 영향
- Wynn은 “이 사건은 누구도 더 안전하게 만들지 않았다”며, **정부의 취약점 점검을 돕는 행위가 체포와 기소, 명예훼손으로 이어질 수 있다는 냉각 효과**를 남겼다고 언급  
- 이러한 평판 손상은 **보안 전문가의 경력에 치명적**일 수 있으며, 고객사 역시 위험을 인식하게 됨  
- 사건 이후 **물리적 침투테스트 절차와 승인 체계**에 **중대한 변화**가 발생함  

### 사건 당시 상황
- 2019년 9월 11일 새벽, 두 사람은 **법원 측면 출입문이 잠기지 않은 상태**를 발견하고 문을 닫아 잠근 뒤, **틈새를 통해 잠금장치를 해제**하여 진입함  
- 진입 직후 **경보가 울려 경찰이 출동**, 체포로 이어짐  
- 기사에서는 “이 사건이 통제 불능으로 번진 이유는 **보안관의 대응 때문**이며, 대부분의 지역에서는 이런 경우 **무혐의 처리**되었을 것”이라는 설명이 포함됨  

### 보안 업계의 반응
- 사건은 **보안 및 법집행 관계자들 사이에서 큰 논란**을 일으킴  
- 합법적 계약 하의 테스트조차 **형사처벌 위험에 노출될 수 있음**을 보여주며, **보안업계 전반의 경각심**을 불러일으킴  
- 결과적으로 **물리적 모의해킹의 승인 절차와 법적 보호 장치 강화** 필요성이 부각됨

## Comments



### Comment 50307

- Author: neo
- Created: 2026-01-31T00:33:25+09:00
- Points: 1

###### [Hacker News 의견들](https://news.ycombinator.com/item?id=46814614) 
- 경찰이 현장에 와서 남자들을 붙잡고, 그들이 제시한 **공식 허가서**를 확인한 뒤 담당자에게 전화까지 걸어 모든 게 정상임을 확인했음  
  그런데 보안관이 도착하자마자 체포를 지시했음. 결국 문제는 상황을 이해하지 못한 단 한 사람, 그것도 **권한자**였음  
  - 보안관이 몰랐다기보다, 단지 **권력 싸움**을 벌이고 싶었던 것 같음  
  - 기사에 따르면 보안관 Leonard가 도착하자 분위기가 급변했음. 그는 “이 건물은 내 관할”이라며 자신이 승인하지 않은 침입이라 주장했음. 아마도 단순히 **자존심 문제**거나, 자신이 배제된 것에 대한 불만이었을 가능성이 큼  
  - 법적으로 보면, 체포는 서류의 진위를 확인할 때까지는 **안전한 조치**였을 수도 있음. 문제는 그 이후의 어처구니없는 대응이었음  

- 이 사건이 처음 일어났을 때 기사를 읽었던 기억이 있음. 그래도 결과가 어느 정도 **긍정적 결말**로 끝나 다행임  
  참고로 체포 직후의 HN 스레드는 [여기](https://news.ycombinator.com/item?id=21000273)에 있음  
  - 6년간의 법정 싸움과 중범죄 혐의에 맞서며 **60만 달러**를 썼다니, 정말 끔찍한 일임  
  - Darknet Diaries에서 두 펜테스터를 인터뷰한 [에피소드](https://darknetdiaries.com/episode/59/)도 있음  

- 사건은 2019년에 일어났고, **정의의 수레바퀴**는 정말 느리게 굴러감  
  - 민사소송의 수레바퀴는 특히 더 느림  
  - 정의가 지연되면 그것은 정의가 아님  
  - 성인이 된 이후 10%의 시간을 법정 싸움에 쓴다는 건 말도 안 되는 일임  
  - 부유층만이 이 속도를 조절할 수 있음  

- 당시 이 사건이 얼마나 **어이없었는지** 기억남. 보안관은 해임되어야 한다고 생각하지만, 달라스 카운티의 무능에 대해 1년에 10만 달러씩 배상받은 건 그나마 나은 결과임  

- 이런 게 바로 내가 **Hacker News**에서 보고 싶은 이야기임  

- 혐의가 취하되어 다행이지만, 원래의 보도 내용을 보면 사건이 기사에서 보인 것보다 훨씬 **복잡한 맥락**이 있었음  
  2019년의 [Ars Technica 기사](https://arstechnica.com/information-technology/2019/11/how-a-turf-war-and-a-botched-contract-landed-2-pentesters-in-iowa-jail/)를 보면,  
  - 경찰이 허가서에 적힌 연락처로 전화했을 때, 한 명은 “물리적 침입은 승인하지 않았다”고 부인했고, 다른 한 명은 전화를 받지 않았음. 이런 상황에서 경찰이 어떻게 해야 했을지 의문임  
  - 계약서에는 “문을 강제로 열지 말라”는 모호한 문구가 있었는데, 두 사람은 잠긴 문을 **도구로 열었다**고 진술함. 문구가 더 구체적이어야 했음  
  - “경보 조작 금지” 조항이 있었지만, 경찰은 그들이 경보를 조작하려 했다고 주장함. 두 사람은 부인함  
  - 침입 전 **음주**가 있었다는 점도 문제임. 혈중알코올농도 0.05였으니 시작할 때는 더 높았을 것임  
  - 경보가 울리고 경찰이 왔을 때 즉시 신분을 밝히지 않고 숨었다는 점도 계약 범위를 벗어남  
  결론적으로 보안관의 과잉 대응은 잘못이지만, 펜테스터들도 완전히 **교과서적인 행동**을 한 것은 아니었음  
  - 예전에 이런 **물리적 침투 테스트**를 수행했는데, 우리는 항상 담당자의 개인 연락처와 서명된 작업 명세서를 지참했음. 비상 연락이 닿지 않는 상황은 상상도 못 했음.  
    음주나 재산 손괴는 절대 금지였고, 경찰이 총을 들고 나타나면 절대 숨지 않았음.  
    이런 테스트는 위험하기 때문에, **전직 군인이나 경찰 출신**을 팀에 포함시켜 안전을 확보했음  
  - 물론, 만약 내가 법원 침입 테스트를 해야 했다면, 솔직히 긴장을 풀기 위해 **맥주 한두 잔**은 마셨을지도 모르겠음.  
    기사에 따르면 “물리적 공격”과 “자물쇠 따기”는 허용되었고, 실제로는 잠긴 문을 **비손상 방식으로 열었다**고 함  
  - 펜테스터에게도 일부 책임이 있지만, 경찰의 진술이 항상 **정확하거나 정직한** 것은 아니기에 완전히 믿기 어렵다고 생각함  
  - 결국 이런 상황은 몇 시간 안에 해결됐어야 했음. 법원과 카운티 간의 **권력 다툼** 때문에 일이 커졌고, 변호사가 있었다면 그날 밤 바로 “이건 비싼 대가를 치를 일”이라 경고했을 것임  
  - 참고로, 경찰이 **60만 달러에 합의**했지, 단순히 기각된 건 아님  

- 공공 부문은 “일할 사람을 못 구하겠다”고 하면서도 이런 일을 벌임. 게다가 그 보안관은 **선출직**이었을 가능성이 큼  

- 앞으로 이런 상황에 처할 사람이라면, 반드시 **서면·전화·대면으로 지역 경찰에 사전 통보**해야 함  
  경찰의 사전 승인이나 **no-objection letter**를 받아두는 게 안전함. 변호사에게도 모든 문서를 공유해야 함. 세상은 친절하지 않음  
  - 이들은 주 법원으로부터 서면 허가와 구두 확인을 받았지만, **사법부와 보안관 간의 알력**을 예상하지 못했음  
  - 실제로 경찰관들은 올바르게 대응했음. 신분 확인 후 바로 풀어줬고, 문제는 나중에 나타난 **보안관 한 명**이 일을 키운 것임  
  - 하지만 현실적으로 경찰은 신고가 들어오면 **무조건 출동**해 상황을 파악함. 예전에 사격장 운영 시에도 비슷한 경험이 있었음. 결국 “신고가 들어오면 출동한다”는 게 전부였음  
  - 물론, 사전에 경찰에 알리면 테스트의 **진정성**이 떨어질 수도 있음  
  - 주 정부가 카운티의 보안 수준을 평가하려는 목적이라면, 사전 통보는 오히려 **검증 무효**를 초래할 수 있음. 보안관의 반응은 뭔가 **감추려는 의심**을 불러일으킴  

- 합의로 끝난 게 아쉬움. 원고들이 더 싸우고 싶지 않았던 건 이해하지만, 보안관의 **권력 남용**은 반드시 처벌받았어야 함  
  - 보안관 Chad Leonard는 2022년에 **조기 은퇴**했음 ([기사 링크](https://www.desmoinesregister.com/story/news/2022/08/29/dallas-county-iowa-sheriff-chad-leonard-retires-early-term/7927264001/))  
  - 그는 **선출직 공무원**이었으니, 결국 유권자들이 투표로 심판해야 했던 셈임