이런 일이 있었는지도 몰랐는데, BBC 사이트 등을 살펴보니 영국 등지에서는 꽤나 무게있게 이 사건이 다뤄졌던 모양이다.
게다가, 지난 10월 6일 재판 판결이 내려졌을때 주요 외국 사이트들과 computer crime 관련 사이트에서 해당 사건을 꽤 비중있게 다루었다. 사실은 지금도 그 판결 결과에 대한 갑론을박으로 논란은 계속 이어질 태세이고...

쓰나미 해커(tsunami hacker) 가 과연 무엇이길래?
쓰나미 해커란 불명예(?)를 뒤집어쓴 인물은 Daniel James Cuthbert 라는 영국의 28살 된 보안전문가이다. ABN Amro 의 보안컨설턴트로 일하던 이 앞길이 구만리 같았던 젊은이에게 무슨 일이 일어났던 것일까?

Daniel Cuthbert 는 작년 스리랑카 쓰나미가 동남아를 덮친 직후, 영국의 DEC(Disaster Emergency Committee) 의 웹사이트를 통해 2004년 12월 31일 30파운드를 기부하기에 이르렀다.(꽤 많이 한편 아닌가? 대략 6만원 가까운 돈인데...)

자칫 엄격하게 적용하면 바로 끌려감

문제는... 이렇게 적지않은 돈을 기부했는데도 불구하고, 기부를 위해 최종 단계 클릭을 했음에도 불구하고, 땡큐 메시지 또는최종확인 메시지가 나타나지 않았다는데 있다.
보안 전문가인 Daniel Cuthbert 는 직감적으로 phishing 사이트에 걸려든게 아닌가 확인을 위해 조사에 들어갔다.

바로... ../../../ 를 URL 에 입력하여 directory travere 를 시도한게지, 주요 phishing 사이트들이 보안상 허술한 웹사이트를 해킹하여 그림 몇장 등을 걸어놓고 phishing 을 하는게 일반적이다 보니 충분히 Daniel Cuthbert 입장에서 이럴 수 있었겠다 싶다.

근데, 문제는 BT 데이터센터 내에 설치된 IDS 가 해킹시도라고 alert 를 때린거고, 직무에 충실한 BT 직원은 또 이를 police 에 신고를 하는 환상의 하모니가 벌어진 것이다.

지난 10월 6일 재판 결과는 Computer Misuse Act 1990 의 1조에 의거하여 유죄판결이며, 벌금형을 선고받아 벌금 400 파운드와 600 파운드의 손해배상을 하기에 이르렀다.

UK Computer Misuse Act 1990 제1조의 내용
(1) A person is guilty of an offence if –
a. he causes a computer to perform any function with intent to secure access to any program or data held in any computer;

b. the access he intends to secure is unauthorised; and

c. he knows at the time when he causes the computer to perform the function that that is the case.

Daniel Cuthbert 는 당연히 검찰에 기소됨과 동시에 ABN Amro 에서 해고되었으며, 앞으로 보안업계는 물론이며 IT 업계에서 구직이 거의 불가능할 것으로 예상된다고 한다.
무슨 high technician 으로 이름을 날린것도 아니고, ../../../ 삽질 한번에 X 되어버렸으니 -.-
이번 판결에 대한 논란은 바로 Computer Misuse Act 1990 를 너무 엄격하게 해석하여 비난의 대상이 아닌 행동에까지 법을 적용한것 아니냐라는데 있다.

반대급부는 이번 판결로 인해 DEC 사이트 등에서 얼마나 제대로된 보안조치, 절차가 행해지고 있는지 명확히 알려졌으며 앞으로 이러한 사건, 사고에 대한 실례가 만들어졌다는데 의미가 있다는 주장을 펼치고 있다.
양쪽 다 나름대로 맞는 이야기를 펼치고 있다. 판사의 양심에 따라 일단 판결이 내려졌고, 28살 젊은이는 인생이 좀 황당해졌지만, 자세히 article 들을 따라가며 읽어보다보니 이 Daniel Cuthbert 가 일종의 괘씸죄도 걸려든게 아닌가 싶다.


컴퓨터 보안 등에 관계된 법령은 영국이 꽤나 빠른 편이고, 국제적으로도 영향력을 행사하는 편이다. 꼭 법령이 아니더라도 ISO17799 이 제정에 있어서의 경우도 그러하고, 요즘의 ITIL, ITSM 등의 경우도 그러하다.
판례까지 이제 하나 생긴 셈이니, 범죄자들에게는 중형을, 사용자들에게는 좀 더 살만한 세상이 되려나?


Posted by 박창민
Bookmark and Share

,