GN⁺: 앱 내 하드코딩된 자격 증명을 폭로한 독일 개발자, '해킹' 혐의 유죄 판결
(infosec.exchange)독일 법이 보안 연구를 위험한 일로 만듦
- 독일 법원이 개발자를 '해킹' 혐의로 유죄 판결함.
- 개발자는 로그 메시지가 너무 많이 생성되는 소프트웨어 조사를 맡았고, 해당 소프트웨어가 벤더의 데이터베이스 서버에 MySQL 연결을 하고 있음을 발견함.
- MySQL 연결을 확인했을 때, 데이터베이스에는 클라이언트 뿐만 아니라 벤더의 모든 고객 데이터가 포함되어 있었음을 알게 됨. 즉시 벤더에게 알렸지만, 벤더는 취약점을 수정하는 동시에 고소함.
법원 판결
- 법원은 애플리케이션에 하드코딩된 데이터베이스 자격 증명(평문으로 보이며, 심지어 디컴파일링도 필요 없음)이 해킹 혐의를 정당화하기에 충분한 보호 수단인지에 대해 상당한 논의가 있었음.
- 법원의 판결은 비밀번호가 있었기 때문에 보호 메커니즘이 우회되었고, 이것이 해킹이라고 명시함.
- 이번 판결로 인해 아무리 결함이 있는 '보호'라 할지라도, 그 존재만으로도 보안 연구를 독일 법 아래에서 범죄적 해킹으로 전환시키는 결과를 초래함.
커뮤니티의 반응
- 커뮤니티에서는 다양한 비유를 통해 이 사건에 대한 의견을 나눔.
- 일부는 하드코딩된 자격 증명을 사용하는 것이 해킹을 구성할 수 있지만, 의도와 발생한 피해도 고려해야 한다고 주장함.
- 다른 이들은 벤더 소프트웨어가 문서화되지 않은 외부 인프라에 호출을 하고 잠재적으로 민감한 데이터를 공유하고 있었다는 점을 지적함.
- 또한, 법적으로 보호받아야 할 독립 감사인의 필요성과 그것이 실현 가능하지 않은 경우의 문제점을 언급함.
GN⁺의 의견
- 이 사건은 보안 연구자들이 취약점을 발견하고 신고하는 행위가 법적 위험을 수반할 수 있음을 보여줌.
- 법원의 판결은 보안 연구와 책임 있는 공개 사이의 긴장 관계를 강조하며, 법적 프레임워크가 기술 발전과 어떻게 조화를 이루어야 하는지에 대한 중요한 논의를 촉발함.
- 이러한 판결이 보안 연구자들에게 억제 효과를 주어 적절하지 않은 보안 조치를 취하는 기업들이 문제를 회피할 수 있게 하고, 결국 사용자들을 위험에 노출시킬 수 있음을 시사함.
Hacker News 의견
-
제목이 혼란스럽고 클릭베이트에 가까워 보임
- 기사의 제목은 혼란스러우며 클릭베이트 경계에 있음. 실제로는 데이터베이스 자격증명을 노출시킨 것이 아니라, 그것을 사용해 제3자의 데이터베이스 서버에 로그인한 것이 문제가 됨. 이는 독일에서 보안 연구를 사실상 불가능하게 만든 StGB 202 ff. 형법 조항 때문에 큰 문제임.
-
독일의 보안 연구 문제
- 독일에서는 약 20년간 보안 분야에 관심을 가진 젊은 엔지니어가 거의 없었으며, 교육받은 사람도 드뭄. 대기업들이 유능한 인재들을 모두 빨아들였고, 최고의 인재들은 해외로 떠남. 결과적으로 대부분의 독일 중소기업들이 매일 해킹을 당하고 있으며, 아무도 감사를 하지 않아 네트워크에 연결된 모든 것이 보안 위험이 됨.
-
법적 조언
- 고등법원에서 이 사건이 기각될 것이라고 기대하는 것은 매우 순진한 생각임. 피고는 여러 법정 단계를 거치며 수년간의 시간을 낭비하게 될 것이며, 변호사 비용으로 약 10만 유로를 소모할 것임. 이 모든 것은 회사가 자신들의 데이터를 제대로 보호하지 못했기 때문임. 만약 명확한 버그 바운티 프로그램이 없거나, 자신의 회사가 아니거나, 구멍을 찾도록 고용되지 않았다면, 문제를 자신의 것으로 만들지 말 것을 조언함.
-
독일 보안 전문가들의 반응
- 일부 경력 있는 독일 정보보안 전문가들은 이러한 상황에 너무 화가 나서, 사건이 발생해도 정부 기관을 돕기를 거부함. '고통을 통한 학습'이라는 말로 이 상황을 표현함.
-
영국의 법률과 비교
- 독일 법률에 대해서는 확실치 않지만, 영국에서는 이것이 명백한 컴퓨터 오용 행위로 간주되어 간단한 사건으로 처리될 것임.
-
법률 개정의 필요성
- 법률이 재작성될 필요가 있어 보임. 의도가 중요하며, 이 '해커'는 해를 끼치려고 한 것 같지 않음. 회사가 자신들의 취약점을 드러냈고, 그것을 폭로한 사람을 처벌하려 함.
-
유사 사례
- BASE64로 암호화된 사회보장번호를 해독하는 것이 '해킹'으로 간주된 사례와 유사함.
-
네덜란드의 식품 스타트업 사례
- PostNL과 협력하던 중, 다른 고객들의 데이터에 접근할 수 있게 되었으나, 법적 책임을 피하기 위해 이를 사용하지 않기로 결정함. 회사는 이를 법적으로 보고해야 했으나 그렇게 하지 않음.
-
보안에 대한 일반적인 태도
- 많은 '해킹' 사례가 사람들이 전면 문을 활짝 열어놓고 방치한 것과 같음. 문을 열어놓고 도둑맞은 경우에는 동정을 받지 못하지만, 회사가 보안을 소홀히 할 때는 해커들에게 분노함.
-
선의의 법칙과 반대되는 상황
- 문제를 발견하면 아무것도 말하지 말고, 아무것도 하지 말아야 하는 상황임. 문제가 있을 수도 있다고 생각하고 멈춘 뒤 회사 주식을 공매도하는 것이 합법일지 궁금함.
-
문제 발견 시 대처 방법
- 문제를 발견하더라도 무시하는 것이 낫다. 비밀번호가 보이는 것을 알려주는 것조차도 위험을 감수하는 것임. 비밀번호를 사용하는 것은 더더욱 피해야 함.
-
형법 제202a조
- '특별한 방법으로 무단 접근으로부터 보호되는 데이터에 접근하는 것'에 대해 설명하고 있으며, 클라이언트에 하드코딩된 비밀번호도 이에 해당됨.