독일 연방 법무부는 보안 취약점을 발견하고 공급업체에 책임감 있게 보고하는 보안 연구원에게 법적 보호를 제공하는 법률 초안을 작성했습니다.
지정된 범위 내에서 보안 연구가 수행될 경우, 책임자는 형사 책임 및 기소 위험에서 제외됩니다.
연방 법무부 장관 Dr. Marco Buschmann은 “IT 보안 격차를 해소하려는 사람들은 검찰의 편지가 아닌 인정을 받을 자격이 있습니다.”라고 말했습니다.
장관은 같은 성명에서 “이 법안 초안을 통해 이 중요한 업무를 수행하는 사람들의 형사 책임 위험을 제거할 것”이라고 언급했습니다.
또한, 제안된 형법 개정안에서는 특히 중요한 인프라가 표적이 되는 경우 심각한 데이터 감시 및 가로채기에 대해 더 엄격한 처벌을 도입합니다.
보안 연구원 보호
새로운 법 초안은 IT 보안 연구원, 회사 및 소위 “해커”를 컴퓨터 형법에 따른 처벌로부터 보호하기 위해 형법(StGB) 202a항을 개정합니다.
이는 “무단”으로 간주되지 않는 한 보안 취약점을 탐지하고 해결하기 위해 해당 작업을 수행할 때 적용됩니다.
보안 연구를 위해 충족해야 하는 기준은 다음과 같습니다.
- 해당 조치는 IT 시스템의 취약성 또는 기타 보안 위험을 식별할 목적으로 수행되어야 합니다.
- 연구원은 식별된 보안 취약성을 시스템 운영자, 소프트웨어 제조업체 또는 연방 정보 보안국(BSI)과 같이 문제를 해결할 수 있는 책임 있는 기관에 보고해야 합니다.
- 취약점을 식별하기 위해서는 시스템에 접근하는 행위가 반드시 필요합니다. 이렇게 하면 불필요하거나 과도한 액세스 없이 보안 테스트에 필요한 범위까지만 면제가 적용됩니다.
관련 행위가 승인된 것으로 간주되는 한, 데이터 가로채기(§ 202b StGB) 및 데이터 수정(§ 303a StGB)과 관련된 범죄에도 형사 책임에서 동일한 제외가 적용됩니다.
동시에, 초안 작성에는 악의적인 데이터 스파이 및 데이터 가로채기(§ 202a StGB)의 심각한 사례에 대해 3개월에서 5년까지의 징역형이 도입됩니다.
심각한 경우에 대해 법안 초안에서는 다음과 같은 경우를 언급하고 있습니다.
- 해당 범죄로 인해 막대한 금전적 피해가 발생합니다.
- 이 행위는 영리 목적에 의해 주도되었거나 상업적 규모로 수행되었거나 범죄 조직의 일부로 수행되었습니다.
- 병원, 에너지 공급업체 또는 운송 네트워크와 같은 중요 인프라를 손상시키거나 해외에서 발생한 공격을 포함하여 독일 또는 해당 주 중 하나의 보안에 영향을 미치는 사례입니다.
법률 초안 및 제안된 개정안에 대한 자세한 내용은 여기에서 확인하실 수 있습니다.
연방 주 및 관련 협회는 검토를 위해 이를 접수했으며 2024년 12월 13일까지 피드백을 제출한 후 의회 심의를 위해 연방의회에 제출합니다.
미국 법무부는 2022년 5월 컴퓨터 사기 및 남용법(CFAA)에 대한 유사한 개정안을 발표하여 ‘선의’ 보안 연구원에 대한 기소 제외를 도입했습니다.