선의의 취약점 탐지 행위에 관한 형사법적 검토
Legislative Review of Good-Faith Vulnerability Detection
송영진(성균관대학교 과학수사학과); 신상현(헌법재판소 헌법연구원); 장응혁(계명대 경찰행정학과); 김기범(성균관대 과학수사학과)
35권 2호, 59~96쪽
초록
본 논문은 선의의 취약점 탐지 행위와 관련된 형사법적 문제를 다루고 있다. 우리나라 정보통신망법 제48조 제1항은 정당한 접근권한 없이 정보통신망에 침입하는 행위를 범죄로 규정하고있고, 윤리적 해커가 보안을 강화하기 위해 취약점을 탐지하는 경우에도 형사 처벌하고 있다. 한국인터넷진흥원은 정보보호 측면에서 2012년부터 보안 취약점 신고포상제를 운영하고 있고, 2022년 6월 정보통신망법 제47조의6을 신설하여 정보보호 취약점 신고자에 대한 포상금 지급근거를 마련하였다. 구글, 네이버, 카카오 등 주요 기업도 보안 취약점 신고포상제를 운영하여보안 취약점 신고를 장려하고 있고, 사이버공격 대응에 대한 비용 절감에 기여하고 있다. 그러나 현재 법적 체계는 윤리적 해커의 행위를 적절히 보호하지 못하고 있어, 윤리적 해커가 형사처벌될 가능성이 여전히 존재한다. 이러한 법적 쟁점을 검토하기 위하여 이 논문에서는 미국, 벨기에, 독일, 일본 등 주요국가의 사례를 통해 보안 취약점 탐지 목적의 정보통신망 침입행위에 대한 법적 취급 방식을비교 분석하였다. 이를 바탕으로 국내 법제의 한계를 보완하기 위한 시사점을 도출하고, 선의의취약점 탐지 행위를 보호하는 방향으로 법제 개선 방안을 제안하였다.
Abstract
This paper examines the legislative considerations regarding the act of good-faith vulnerability detection. In South Korea, the Information and Communications Network Act prohibits unauthorized access to networks or any access exceeding permitted authorization. While this law aims to prevent hacking, it raises controversy as it potentially penalizes ethical hackers who identify vulnerabilities to enhance security. Major IT companies such as Kakao, Naver, and Google have bug bounty programs to encourage the reporting of security vulnerabilities, which plays an important role in strengthening cyber security and reducing the cost of cyber attacks. However, the current legal framework does not adequately protect the actions of ethical hackers, which puts them at risk of criminal prosecution. This paper aims to provide insights into how major countries handle network intrusions for the purpose of vulnerability detection through a comparative legal review. It seeks to propose improvements to domestic laws to encourage good-faith vulnerability detection and ultimately enhance cyber security.
- 발행기관:
- 한국형사법무정책연구원
- 분류:
- 법학