k - Feb. 22, 2017, 10:49 a.m.
일단 한국 웹사이트들은 아주 보안이 극혐인 사이트들이 많죠. 신고를 해도 땜빵 패치를 하고, 대형사이트들은 XXE나 RCE, SQLi 하나씩은 있고, 제대로 된 버그바운티 소개도 안하고, 제보할 창구조차 없죠. 이 글을 보고 나를 신고해야겠다.. 하고 바득바득 이를 가시는 분들이 있다면, 역겹네요. 솔직히 그런 보안에 혐오를 느낍니다. 버그바운티 운영에는 준비가 필요하겠죠, 예, 알겠습니다. 하지만 일단 지금 상태로는 툴만 돌려도 털릴 사이트들이 상당히 많을거고, 뭐~ 거기에~ 방화벽이니~ 뭐니~ 하면서 막 막는다고 어쩌구저쩌구 하는데, 다 뚫리잖아요? 추적? 토르망을 추적한다구요? 그 정도 되면 뭐.. 박수 쳐드리겠습니다. 여기서 말하고싶은건 추적을 할수있냐 안하냐는 아니고, 뭐 트래픽 분석이니 정황 분석이니 뭐니 해서 추적이 가능했을 수도 있겠죠. 제 말은 사후처리보다 중요한게 사전에 막는거라고 생각하는데, 적어도 방화벽이나 백신은 이미 알려진 공격과 방화벽, 백신의 커버 범위 내에서는 막을 수 있겠지만, 공격에는 그게 다가 아니라는 것은 자명하잖아요? 하다못해 버그바운티를 못하더라도, 제보를 할 창구는 하나 만들어둬야되지 않겠어요, 지금 세상에? 해커들이 불법이라고 못뚫습니까? 아주 웃겨요. 적어도 선의로 건드려보는 해커들을 전부다 경찰서로 내몰지는 말라구요.
질문 2개 드립니다. 1. 남이 운영하는 서비스의 (운영자의 동의 또는 요청 없이)취약점을 (현행법을 어겨가며)찾는 이유는 뭔가요? 2. 공격자들의 선의를 판단 할 수 있는 근거는? 기준은? 방법은?
글에서 언급했듯이 버그바운티를 하는데 많은 준비가 필요할거라 했죠. 버그바운티로서 포기되는 전제들이 분명히 있기때문에 무조건 이렇게 하라는 건 아니지만, 저는 여기에 대한 문제제기를 하려고 이 글을 썼습니다. 물론 날라리연구원님이 말씀해주신건 짚고 넘어가야할 문제라고 생각을 해요. 북한발 해킹이 화두되는 시점에서 해킹시도 하나하나에도 민감해져야하는 분들의 입장도 물론 있겠다라고 생각을 해요. 1번은 그냥 재미로요. 논외지만 파라미터 조작을 해보지 않아도 취약하다는 감이 오는 경우도 있는데 이럴 때는 조작 등의 행위는 해보지 않습니다. SQLi, LFI 등이 이이 해당하는데 개발자 도구를 열고 네트워크 탭을 보는 것이나 클라이언트 쪽 코드를 분석하여 공유는 안하고 알고만 있는 것이 불법은 아닐 것이며 이런 경우도 있다는 것을 말씀드리려고 합니다. 2번은 조금 더 생각해보겠습니다. 항상 이 토의에 같이 대두되는 주제지만 그만큼 중요한 거겠죠.
어린 친구들이 원하는 그런 환경을 만들기 위해서 제일 중요한 부분이 2번입니다. 현실적으로 제한하는 법이 정보통신망법인데, 자유롭게 취약점을 찾을 수 있는 환경을 만들기 위해서는 법 개정이 최우선입니다. 우리같은 사람들이야 별다른 기준이 없어도 선의로 한거다, 악의적인 목적이 없을것이다 라고 이해를 하고 넘어갈 수 있지만 제3자의 관점에서 생각해볼 필요가 있습니다. 법이라는건 특정인들을 대상으로 하는것이 아닌 보편적인 적용을 위해서 만든 최소한의 도덕입니다. 즉, 누구나 그렇게 합당하게 납득할 수 있는 것이라는 말입니다. 자 쉽게 말해서 (운영되는 서비스 운영자의 허가 없이)취약점을 찾는 행위를 자유롭게 할 수 있는 환경을 만들기 위해서는 누구나 쉽게 납득 할 수 있는 객관적인 기준이 선결되어야 한다는 말입니다. 물론 많이 어렵습니다. 이 경우 여타 다른 법조항에도 영향을 줄 수가 있습니다. 예를 들어 정보통신망법이 개정되어 '선의의 목적으로 수행한 침입행위는 죄를 묻지 않는다.' 라는 조항이 만들어졌다고 가정합시다. 자 그럼 이 조항문 하나로 다른 법까지 영향을 받을 수 있습니다. 쉽게 비유할 수 있는 주거지침입과 사유지침탈을 봅시다. 그럼 정보통신망법에서 처럼 해당 두가지 법조항도 '선의의 목적으로 행해진 주거지침입과 사유지침탈은 죄를 묻지 않는다.' 로 수정되어야 법리와 법정의의 일관성이 생기게 됩니다. 다시 말하지만 '선의의 목적'을 판단할 수 있는 객관적 기준을 만들어야하는것이 최우선입니다. 하지만 그것은 거의 불가능에 가까울 정도로 굉장히 어렵기도 합니다. 그리고 1번은 2번을 답변하는데 중요한 근거로 활용되어야 하기에 질문 순서를 저렇게 한것입니다. 하지만 1번의 답변이 '그냥 재미로' 라는 답변이라면 논리적, 행위적 정당성이 많이 결여된 답변입니다. 차라리 '나의 개인정보가 쉽게 노출되는걸 방지하기 위해서', 또는 '다수가 사용하는 서비스의 보안성을 강화시키는데 도움을 주기 위해서' 라고 한다면 최소한 행위적 정당성은 충분하지 않을까요? 마지막으로, '선의의 목적'을 가진 해커들이 자유롭게 취약점을 찾아서 제보하고 보상 받을 수 있는 법적, 절차적 환경이 빨리 만들어지면 좋겠고, 계속 노력하겠습니다. ^^
우선 2017년까지도 해커들이 왜 취약점을 찾느냐는 질문이 나오는 현실에 1한숨 드립니다. 명분 이딴거 다 조까고 솔직하게 말해봅시다. 해커들 공익 애국 이딴거 관심없고 그냥 재밌으니까 하는거 다들 알잖습니까 씨바 내가 해킹을 존나 잘해가지고 걔들이 못찾는걸 재미삼아 툭 찾아부렀는데 그럼 우째? 클라스되는 애들은 사이트 쭉 흝어보면 머리속에 취약점별로 보고서 출력됩니다. 그럼 특수문자 몇개 살짝 넣어보면 검증되는거죠 ?page=board/ 이런거 해보면 취약점이 존재하는지, 에러보면 어떻게 공격해서 뭐까지 할수있는지 다 알수있는데 이걸 어쩌라고? 이미 찾은 취약점 하드 한구석에 짱박아두게 하지말고 어케좀합시다
그럼 심증만 전달하세요 ... ^^ 괜히 검증한다고 운영중인 사이트에 공격하지 말구요. 단지 재미있어서 하셨다면... 내가 할 수 있는 행동의 한계는 상대방에게 알려주는 것까지 입니다. 그 이후의 일은 상대방이 알아서 할 일이지요. 전달해도 안고쳐지면 어쩔 수 없습니다. 법의 테두리 내에서 개인 또는 단체의 자유를 제한하는데는 분명 한계가 있습니다. KISA에서 권고하고, 벌금 때려도 그 비용이 유지보수 비용보다 저렴하다면 벌금내면 그만이에요.
심증만 전달하면 무시하자나여..