2018년도 육군 홈페이지 취약점을 발견해 언론에 제보했던 사례.
제보자는 발견한 취약점을 KISA에 제보 후 모 언론사에도 해당 사실을 알렸다. 공식적으로 처벌이 명시되었기 때문이다.
'정당한 접근권한’이나 ‘정당한 사유’ 없이 취약성을 점검한 행위는 모두 불법이다.
여러 전문가들의 다양한 의견이 존재했다.
“문제의 초점은 제보된 취약점이 처리됐는지 여부에 둘 것이 아니”라고 선을 그었다. 그는 제보자의 취약성 점검이 “현행법을 명백하게 위반한 행위”라면서 “서비스 운영자 입장에선 제보자의 선의를 보장받을 수 없다”
VS
“사익이 아닌 공익적인 목적에서 행한 일을 불법이라고 처벌할 순 없다”면서 “군의 보안 인력 및 예산 부족으로 인한 취약성 문제가 이번 사건의 핵심 원인”이라고 지적
결론 :
1.국내에서 허가받지 않은 취약점 점검(공격 시도)은 불법.
2. 만약 의도치 않게 확인했다면 해당 담당자에게 알리고 선조치가 끝난 후 언론에 알려야 한다.
3. 버그바운티 이용
참고 기사 : https://m.boannews.com/html/detail.html?idx=68028
버그바운티 사례 : https://www.genians.co.kr/products/bug-bounty
磨斧爲針