이번 포스팅은 스캐닝 행위와 관련한 법률조항에 대해 정리해보도록 하겠습니다.
컨설팅을 하게 되면 몇몇 업체에서 다음과 같은 질문을 가끔 받게 됩니다.
“갑의 업체에서 취약점/네트워크 점검을 명목으로 자사의 네트워크를 대상으로 스캐닝을 하곤 합니다.
저희는 이와 같은 상황을 어떻게 받아들어야 하며, 어떤 근거로 이와 같은 스캐닝을 거부할 수 있나요?"
관련 답변은 [정보통신망 이용촉진 및 정보보호 등에 관한 법률 (이하 정보통신망법)] 에 명쾌하게 정리되어 있습니다.
관련 법령을 보도록 하겠습니다.
1. 관련 법령
제48조 (정보통신망법 침해행위 등의 금지)
2. 벌칙
제71조 (벌칙) 다음 각 호의 어느 하나에 해당하는 자는 5년이하의 징역 또는 5천만원 이하의 벌금에 처한다
- 9항 : 제48조제2항을 위반하여 악성프로그램을 전달 또는 유포한 자
- 10항 : 제28조제3항을 위반하여 정보통신망에 장애가 발생하게 한자
제72조 (벌칙) 다음 각 호의 어느 하나에 해당하는 자는 3년 이하의 징역 또는 3천만원 이하의 벌금에 처한다
- 1항 : 제48조제1항을 위반하여 정보통신망에 침입한 자
3. 결론
특정인의 스캐닝 행위가 단순 정보수집을 위한 ‘포트스캐닝’ 이든, 취약점을 확인하기 위한 ‘취약점 스캐닝’ 이든,
정당한 접근권한 없이 정보통신망에 침입하는 경우, 명백한 해킹으로 간주되어 위의 법률을 기준으로 처벌받게 됩니다.
합법적인 스캐닝을 위해서는 관련 조직간의 합의 및 계약이 명확히 수립되어야 있어야 합니다.
예를 들면, 관련 업체와의 계약사항에 아래와 같은 내용을 명시해야 합니다.
- 정보보호서약서 제출
- 업무수행 관련 취득한 중요정보 유출 방지 대책
- 보안사고발생에 따른 대책 수립
- 보안요구사항 위반 시 처벌, 손해배상 책임
0 개의 댓글:
댓글 쓰기