암호화 보안회사 CertiK와 크라켄의 충돌, 화이트햇도 블랙햇으로 변할 수 있는가?
글: 진건지, 상하이 만쿤 법률 사무소 시니어 변호사
암호화 산업의 다툼은 정말 흥미진진하다. 최근 암호화 보안 분야의 유니콘 기업 CertiK와 미국의 대형 거래소 Kraken 사이의 충돌은 나를 마치 밭에서 스며들 듯 구경하게 만들었다.
사건의 개요는 이렇다. CertiK는 자체 보안 테스트 과정에서 Kraken 플랫폼 내에서 암호화 자산 계정 잔고를 인위적으로 증가시킬 수 있는 심각한 취약점을 발견했다. 이 테스트를 통해 Kraken의 경보 시스템이 정상적으로 작동하는지를 확인하고자 했다. 그러나 Kraken 측은 CertiK의 행동이 일반적인 보안 연구 범위를 넘어서며, 취약점을 이용해 이득을 얻으려 한 것으로 간주하며, 이를 협박 행위라고 비난했다.
CertiK 측 주장에 따르면, 이번 테스트를 통해 Kraken 시스템 내 여러 보안 취약점이 노출되었으며, 수정되지 않을 경우 수억 달러의 손실이 발생할 수 있다고 한다. CertiK는 이러한 행동이 전체 사용자의 이익을 보호하고 사이버 보안 강화를 위한 것이라며, 테스트 시간표와 관련 입금 주소를 공개함으로써 투명성과 신뢰성을 입증했다.
반면 Kraken과 CSO 닉 퍼코코(Nick Percoco)는 소셜 미디어와 공개 성명을 통해, 자사의 버그 바운티 프로그램에는 명확한 규칙이 있으며 모든 취약점 발견자는 이를 준수해야 한다고 강조했다. 또한 CertiK의 행동은 플랫폼 보안에 대한 직접적인 위협이라고 판단하며 해당 사건을 법 집행 기관에 신고했다고 밝혔다.
이번 대립은 단순히 기술 및 보안 문제를 넘어 법률과 윤리의 경계까지도 다루고 있다. 특히 화이트햇 해커 활동의 범위와 책임에 관한 논의를 촉발했으며, 이는 만쿤 변호사가 화이트햇 해커의 법적 기준을 심층적으로 탐구할 수 있는 풍부한 배경을 제공한다.
01 화이트햇 해커의 행동은 합법적인가?
엄격한 행동 관점에서 보면, 화이트햇 해커의 행위는 불법 컴퓨터 침입과 매우 유사하다. 하지만 대부분의 경우 화이트햇 해커에게 범죄나 불법행위라는 법적 평가를 부여하지 않는다. 그들의 목적과 행동 과정이 본질적으로 불법 행위와 근본적인 차이를 가지기 때문이다.
블록체인상의 화이트햇 해커들은 취약점을 발견하고 이를 수정함으로써 기업 및 조직이 더 안전한 네트워크 환경을 조성하도록 돕고, 전체 시스템의 신뢰성과 안정성을 높이며 긍정적인 기여를 한다.
그렇다면 보수를 받는 행위는 화이트햇 해커에 대한 평가에 영향을 미칠까? 보수는 효과적인 인센티브 제도로서 사이버 보안 분야에 더 많은 인재를 유치할 수 있으며, 업계 전반의 보안 수준을 높이는 데 기여한다. 기업 입장에서는 고비용 대비 효과적인 취약점 수정 방식이며, 동시에 사이버 보안을 중시하는 이미지를 구축할 수 있다. 따라서 화이트햇 해커가 적절한 수준의 보수를 받는 것은 업계의 관례로 여겨진다.
02 이번 경우, CertiK는 화이트햇 해커인가?
CertiK와 Kraken 간의 논쟁에서 핵심 쟁점 중 하나는 CertiK의 행동 범위 문제이다. 특히 외부 지갑으로 300만 달러를 이체한 동기와 그 법적 성격이 논란의 중심이 되고 있다.
행동의 투명성 부족
CertiK는 Kraken과 협력 관계에 있는 보안 회사이며, Kraken이 보안 취약점에 대해 버그 바운티 프로그램을 운영 중임을 잘 알고 있었다. 따라서 테스트 시작 전 충분한 권한을 확보하는 것이 가능했다. 그러나 커뮤니티와 Kraken이 공개한 정보에 따르면, CertiK는 취약점을 보고할 때 구체적인 이체 금액을 언급하지 않았으며, Kraken이 "300만 달러 반환"을 요구한 후에야 자신들의 "모든 테스트 주소"를 공개해 Kraken이 주장한 금액을 옮기지 않았음을 증명했다.
자금 이체는 사실
Kraken과 체인 분석가 @0xBoboShanti의 설명에 따르면, 이미 5월 27일부터 CertiK 소속 보안 연구원이 탐지 및 테스트를 진행했으며, 이는 CertiK가 발표한 사건 시간표와 모순된다. 이후 추가적인 취약점 테스트 과정에서도 CertiK는 경보 시스템이 제때 작동하는지 확인하기 위한 것이라 주장했지만, 실제로는 단순한 취약점 발견을 넘어 독립 지갑 주소로 자금을 이체했다. 이는 일반적인 보안 테스트 범위를 초과한 것이다. 또한 공개된 바에 따르면, CertiK는 이전에도 여러 거래소에서 동일한 방식으로 테스트를 수행했으며, Tornado Cash를 통한 자산 이체 및 ChangeNOW를 통한 매각까지 활용한 전력이 있다.
이 두 가지 상황은 거의 확실히 화이트햇 해커의 행동 기준을 넘어서고 있다.
03 법적 기준 설정이 핵심
법률적 관점에서 볼 때, 화이트햇 해커의 행동은 일반적으로 합법으로 간주되지만, 이는 일정한 규범과 조건을 충족해야 한다는 전제 하에 성립된다.
미국의 경우 화이트햇 해커 활동과 밀접하게 연관된 법률로는 「컴퓨터 사기 및 남용 방지법」(CFAA)이 있다. CFAA에 따르면, 허가받지 않거나 허가 범위를 초과하여 보호된 컴퓨터에 접근하는 행위는 모두 범죄가 될 수 있다. 화이트햇 해커의 경우, 명확한 승인 하에 규정된 범위 내에서 행동해야 하며, 설령 보안 테스트라는 목적이라 하더라도 이를 벗어나면 CFAA 위반이 될 수 있다. 또한 기술 발전과 함께 일부 지역에서는 화이트햇 해커 활동을 지도하고 보호하기 위한 보다 구체적인 규정들이 점차 형성되고 있다.
중국의 경우 『사이버 보안법』이 사이버 보안 강화 및 네트워크 공간 관리에 대한 종합적인 요구사항을 명시하고 있다. 즉, 보안 테스트 목적이라 하더라도 네트워크 침입은 불법으로 간주될 수 있으며, 동시에 개인정보 및 프라이버시 보호를 강조한다. 보안 테스트 과정에서 개인정보를 다룰 경우, 데이터의 안전과 프라이버시 침해가 없도록 해야 하며, 취약점을 발견한 후에는 즉시 사이버 보안 관리 기관 및 관련 사업자에게 보고할 책임이 있다. 이러한 보고 메커니즘은 취약점을 신속히 수정하고 악용을 방지하기 위한 것이다.
그러나 Web3.0 업계에서는 일부 화이트햇 해커들이 테스트 과정에서 자금 이체를 수행하기도 하는데, 이는 일반적으로 프로젝트 측의 묵시적 허용 하에 이루어지며(예: grants 프로그램 운영), 혹은 암호화 자산을 특정 독립 지갑으로 이체한 후 추가 조작 없이 취약점을 신고하고 프로젝트 측으로부터 보상을 받는 방식으로 진행된다. 이 역시 업계의 관례로 받아들여지고 있다.
그러나 CertiK 사례의 경우 실제 자금 이체와 후속 조치는 법적 쟁점을 복잡하게 만든다. 우선 CertiK가 사적인 이득을 목적으로 자금을 이체했는지 여부, Kraken이 화이트햇 해커에게 명확히 요구한 사항을 준수하지 않고 동일한 취약점을 다시 입증하기 위해 자금을 이체한 점, 그리고 이후 이체된 자금에 대한 조치가 불법적인 이득 추구로 간주될 가능성 등이 있다. 또한 CertiK의 행동 이후 Kraken과의 소통 및 조율 방식도 그들의 행동에 대한 법적 평가에 영향을 줄 수 있다.
04 결론과 반성
Kraken과 CertiK의 논란은 전적으로 미국 법적 쟁점이므로, 만쿤 변호사로서 미국 법에 대해 의견을 제시하기는 어렵다. 그러나 만약 이 사건이 중국 법 아래에서 발생했다면, CertiK의 행동은 협박 및 컴퓨터 시스템 불법 침입 혐의에서 벗어나기 어려웠을 것이다.
사실 화이트햇 해커도 어떤 상황에서는 '검은 모자'로 변할 수 있다. 처음 의도가 시스템 보안 강화였더라도, 적절한 권한 없이 테스트를 수행하거나, 발견한 취약점을 개인적 이득을 위해 이용한다면, 이러한 행동은 이미 화이트햇 해커의 법적·윤리적 기준을 벗어난 것이다. CertiK와 Kraken 사건이 보여주듯, 허가받지 않은 상태에서 자금을 이체하는 행위, 특히 거액의 자금이 관련될 경우, 테스트 목적이라 하더라도 검은 모자 행위로 간주될 수 있다.
TechFlow 공식 커뮤니티에 오신 것을 환영합니다
Telegram 구독 그룹:https://t.me/TechFlowDaily
트위터 공식 계정:https://x.com/TechFlowPost
트위터 영어 계정:https://x.com/BlockFlow_News
