카운티가 법원 보안 점검 중 체포된 모의해킹 전문가들에게 60만 달러를 지급
(arstechnica.com)- 2019년 아이오와주 법원 보안 점검 중 체포된 보안 전문가 두 명이 부당 체포 및 명예훼손 소송에서 60만 달러 합의금을 받게 됨
- 두 사람은 Coalfire Labs 소속 침투테스터로, 아이오와 사법부의 공식 허가를 받은 ‘레드팀’ 모의침입 테스트를 수행 중이었음
- 테스트는 물리적 공격(자물쇠 따기 등) 을 포함하도록 명시되어 있었으나, 현지 보안당국은 이를 중범죄 절도 혐의로 체포함
- 이후 경범죄 무단침입으로 혐의가 낮춰졌지만, 달라스 카운티 보안관은 여전히 불법행위라 주장하며 공개 비난을 이어감
- 이번 사건은 보안 전문가들이 합법적 테스트 중 체포될 수 있다는 경고로 받아들여지며, 물리적 침투테스트 절차 전반에 중대한 변화를 촉발함
사건 개요
- 2019년, Gary DeMercurio와 Justin Wynn은 아이오와주 달라스 카운티 법원에서 공식 승인된 보안 점검을 수행 중 체포됨
- 두 사람은 콜로라도 기반 보안업체 Coalfire Labs 소속으로, 아이오와 사법부의 서면 허가를 받아 ‘레드팀’ 모의침입을 진행 중이었음
- 해당 테스트는 실제 범죄자나 해커의 침입 방식을 모방해 보안 방어체계의 내구성을 점검하는 목적이었음
- 규정상 물리적 공격(자물쇠 따기 등) 이 허용되어 있었으며, 단 중대한 손상을 초래하지 않는 범위로 제한되어 있었음
체포와 법적 대응
- 두 사람은 중범죄 3급 절도 혐의로 체포되어 20시간 구금, 각각 5만 달러 보석금으로 석방됨
- 이후 혐의는 경범죄 무단침입으로 낮춰졌으나, 달라스 카운티 보안관 Chad Leonard는 여전히 불법행위라 주장하며 공개 비난을 지속함
- 두 사람은 부당 체포 및 명예훼손을 이유로 소송을 제기했고, 사건 발생 6년 후 60만 달러 합의금을 받게 됨
사건의 영향
- Wynn은 “이 사건은 누구도 더 안전하게 만들지 않았다”며, 정부의 취약점 점검을 돕는 행위가 체포와 기소, 명예훼손으로 이어질 수 있다는 냉각 효과를 남겼다고 언급
- 이러한 평판 손상은 보안 전문가의 경력에 치명적일 수 있으며, 고객사 역시 위험을 인식하게 됨
- 사건 이후 물리적 침투테스트 절차와 승인 체계에 중대한 변화가 발생함
사건 당시 상황
- 2019년 9월 11일 새벽, 두 사람은 법원 측면 출입문이 잠기지 않은 상태를 발견하고 문을 닫아 잠근 뒤, 틈새를 통해 잠금장치를 해제하여 진입함
- 진입 직후 경보가 울려 경찰이 출동, 체포로 이어짐
- 기사에서는 “이 사건이 통제 불능으로 번진 이유는 보안관의 대응 때문이며, 대부분의 지역에서는 이런 경우 무혐의 처리되었을 것”이라는 설명이 포함됨
보안 업계의 반응
- 사건은 보안 및 법집행 관계자들 사이에서 큰 논란을 일으킴
- 합법적 계약 하의 테스트조차 형사처벌 위험에 노출될 수 있음을 보여주며, 보안업계 전반의 경각심을 불러일으킴
- 결과적으로 물리적 모의해킹의 승인 절차와 법적 보호 장치 강화 필요성이 부각됨
Hacker News 의견들
-
경찰이 현장에 와서 남자들을 붙잡고, 그들이 제시한 공식 허가서를 확인한 뒤 담당자에게 전화까지 걸어 모든 게 정상임을 확인했음
그런데 보안관이 도착하자마자 체포를 지시했음. 결국 문제는 상황을 이해하지 못한 단 한 사람, 그것도 권한자였음- 보안관이 몰랐다기보다, 단지 권력 싸움을 벌이고 싶었던 것 같음
- 기사에 따르면 보안관 Leonard가 도착하자 분위기가 급변했음. 그는 “이 건물은 내 관할”이라며 자신이 승인하지 않은 침입이라 주장했음. 아마도 단순히 자존심 문제거나, 자신이 배제된 것에 대한 불만이었을 가능성이 큼
- 법적으로 보면, 체포는 서류의 진위를 확인할 때까지는 안전한 조치였을 수도 있음. 문제는 그 이후의 어처구니없는 대응이었음
-
이 사건이 처음 일어났을 때 기사를 읽었던 기억이 있음. 그래도 결과가 어느 정도 긍정적 결말로 끝나 다행임
참고로 체포 직후의 HN 스레드는 여기에 있음- 6년간의 법정 싸움과 중범죄 혐의에 맞서며 60만 달러를 썼다니, 정말 끔찍한 일임
- Darknet Diaries에서 두 펜테스터를 인터뷰한 에피소드도 있음
-
사건은 2019년에 일어났고, 정의의 수레바퀴는 정말 느리게 굴러감
- 민사소송의 수레바퀴는 특히 더 느림
- 정의가 지연되면 그것은 정의가 아님
- 성인이 된 이후 10%의 시간을 법정 싸움에 쓴다는 건 말도 안 되는 일임
- 부유층만이 이 속도를 조절할 수 있음
-
당시 이 사건이 얼마나 어이없었는지 기억남. 보안관은 해임되어야 한다고 생각하지만, 달라스 카운티의 무능에 대해 1년에 10만 달러씩 배상받은 건 그나마 나은 결과임
-
이런 게 바로 내가 Hacker News에서 보고 싶은 이야기임
-
혐의가 취하되어 다행이지만, 원래의 보도 내용을 보면 사건이 기사에서 보인 것보다 훨씬 복잡한 맥락이 있었음
2019년의 Ars Technica 기사를 보면,- 경찰이 허가서에 적힌 연락처로 전화했을 때, 한 명은 “물리적 침입은 승인하지 않았다”고 부인했고, 다른 한 명은 전화를 받지 않았음. 이런 상황에서 경찰이 어떻게 해야 했을지 의문임
- 계약서에는 “문을 강제로 열지 말라”는 모호한 문구가 있었는데, 두 사람은 잠긴 문을 도구로 열었다고 진술함. 문구가 더 구체적이어야 했음
- “경보 조작 금지” 조항이 있었지만, 경찰은 그들이 경보를 조작하려 했다고 주장함. 두 사람은 부인함
- 침입 전 음주가 있었다는 점도 문제임. 혈중알코올농도 0.05였으니 시작할 때는 더 높았을 것임
- 경보가 울리고 경찰이 왔을 때 즉시 신분을 밝히지 않고 숨었다는 점도 계약 범위를 벗어남
결론적으로 보안관의 과잉 대응은 잘못이지만, 펜테스터들도 완전히 교과서적인 행동을 한 것은 아니었음 - 예전에 이런 물리적 침투 테스트를 수행했는데, 우리는 항상 담당자의 개인 연락처와 서명된 작업 명세서를 지참했음. 비상 연락이 닿지 않는 상황은 상상도 못 했음.
음주나 재산 손괴는 절대 금지였고, 경찰이 총을 들고 나타나면 절대 숨지 않았음.
이런 테스트는 위험하기 때문에, 전직 군인이나 경찰 출신을 팀에 포함시켜 안전을 확보했음 - 물론, 만약 내가 법원 침입 테스트를 해야 했다면, 솔직히 긴장을 풀기 위해 맥주 한두 잔은 마셨을지도 모르겠음.
기사에 따르면 “물리적 공격”과 “자물쇠 따기”는 허용되었고, 실제로는 잠긴 문을 비손상 방식으로 열었다고 함 - 펜테스터에게도 일부 책임이 있지만, 경찰의 진술이 항상 정확하거나 정직한 것은 아니기에 완전히 믿기 어렵다고 생각함
- 결국 이런 상황은 몇 시간 안에 해결됐어야 했음. 법원과 카운티 간의 권력 다툼 때문에 일이 커졌고, 변호사가 있었다면 그날 밤 바로 “이건 비싼 대가를 치를 일”이라 경고했을 것임
- 참고로, 경찰이 60만 달러에 합의했지, 단순히 기각된 건 아님
-
공공 부문은 “일할 사람을 못 구하겠다”고 하면서도 이런 일을 벌임. 게다가 그 보안관은 선출직이었을 가능성이 큼
-
앞으로 이런 상황에 처할 사람이라면, 반드시 서면·전화·대면으로 지역 경찰에 사전 통보해야 함
경찰의 사전 승인이나 no-objection letter를 받아두는 게 안전함. 변호사에게도 모든 문서를 공유해야 함. 세상은 친절하지 않음- 이들은 주 법원으로부터 서면 허가와 구두 확인을 받았지만, 사법부와 보안관 간의 알력을 예상하지 못했음
- 실제로 경찰관들은 올바르게 대응했음. 신분 확인 후 바로 풀어줬고, 문제는 나중에 나타난 보안관 한 명이 일을 키운 것임
- 하지만 현실적으로 경찰은 신고가 들어오면 무조건 출동해 상황을 파악함. 예전에 사격장 운영 시에도 비슷한 경험이 있었음. 결국 “신고가 들어오면 출동한다”는 게 전부였음
- 물론, 사전에 경찰에 알리면 테스트의 진정성이 떨어질 수도 있음
- 주 정부가 카운티의 보안 수준을 평가하려는 목적이라면, 사전 통보는 오히려 검증 무효를 초래할 수 있음. 보안관의 반응은 뭔가 감추려는 의심을 불러일으킴
-
합의로 끝난 게 아쉬움. 원고들이 더 싸우고 싶지 않았던 건 이해하지만, 보안관의 권력 남용은 반드시 처벌받았어야 함
- 보안관 Chad Leonard는 2022년에 조기 은퇴했음 (기사 링크)
- 그는 선출직 공무원이었으니, 결국 유권자들이 투표로 심판해야 했던 셈임