2년 전 자사의 해킹 방어 도구를 홍보하기 위해 홍콩증권거래소 뉴스사이트에 두 차례에 걸쳐 분산서비스거부(DDoS) 공격을 감행한 웹호스팅 회사 대표가 9개월 형을 선고받았다.
사우스차이나 모닝 포스트는 지난 9일(현지시간) 해킹으로 HSBC, 캐세이 퍼시픽 항공 등 7개 회사에 주식거래를 일시 중지시켜 총 1조5천억 홍콩달러 규모의 피해를 입힌 혐의로 팍스위치 글로브 텔레콤이라는 로컬 웹호스팅 회사 대표 체 만라이(28세)가 유죄판결을 받았다고 보도했다.
홍콩법원 킴 롱레이 판사는 “체의 공격은 매우 무모한 행위로 홍콩의 중요한 웹사이트를 공격했다”고 밝혔다.
체는 두 번 공격을 시도해 홍콩증권거래소 뉴스사이트에 접속했다고 주장했다. 첫째로는 390초 동안 해당 사이트의 서비스 장애를 일으켰고, 두번째로는 70초에 그쳤다.
체는 홍콩증권거래소의 뉴스사이트가 아직도 홍콩 밖에 위치한 수백대의 컴퓨터를 통한 DDoS 공격에 취약할 수 있다고 설명했다. 이를 증명하는 한편 자신이 개발한 DDoS 방지 솔루션을 소개하기 위해 공격과정과 방어솔루션을 활용하는 방법에 대해 사진을 찍고, 동영상으로 만들어 제품 홍보용으로 활용했다.
사우스 차이나 모닝 포스트에 따르면 홍콩상업범죄관리국의 기술범죄 담당 레이몬드 카오 와키 선임 조사가는 “체의 해킹은 웹사이트에 손상을 입히지는 않았다”며 “수감기간은 인터넷이 무법지대가 아니라는 분명한 메시지를 던질 것”이라고 밝혔다. 체는 주식 거래소의 보안성을 테스트할 권한을 갖지 않았다는 점을 분명히 한 것이다.
관련기사
- 점심 한끼에 DDoS공격…러 해킹산업 백태2012.11.13
- "요즘은 중학생까지..." DDoS 공격 대중화2012.11.13
- 어나니머스, 英 정부 사이트 DDoS 공격2012.11.13
- 안티 위키리크스, 러 뉴스사이트 DDoS 공격2012.11.13
현재까지 윤리적으로 해킹을 허용할 수 있는 판단 기준 등에 대해서는 명시된 내용이 없다. 다만 외신에 따르면 보안전문가인 스트로언 로버트슨은 윤리적인 해킹에 대해 인포 시큐리티 매거진을 통해 다음과 같이 밝혔다.
“만약 시스템에 접속할 수 있는 권한을 가진 상태에서 해킹을 시도했다면 합법적이다. 그렇지 않다면 공격자는 이 기술을 악용할 수 있다. 이 같은 비인가 접속은 비밀번호를 추정해 누군가의 웹메일 계정에 접속하고, 은행의 보안장치를 크래킹 하는 등의 일을 수행할 수 있다. 따라서 당신의 행동이 선의에서 나온 것이라도 해킹을 용인할 어떤 보호 장치도 없다.”