A professional digital security concept featuring a classic Iowa courthouse building at night. Overlaid with subtle blue digital lock icons and circuit patterns. High contrast, modern cinematic lighting. No text. 4:3

모의 침투 하다가 체포된 해커가 60만 달러 받은 이유

by

합법적인 계약을 맺고 보안 점검을 수행하던 전문가들이 현장에서 체포되어 수감되는 황당한 사건이 발생했습니다. 2019년 아이오와주에서 시작된 이 논란은 최근 60만 달러라는 거액의 합의금 지불로 결론이 났습니다. 국가 기관의 의뢰를 받고 일하던 보안 전문가들이 왜 범죄자 취급을 받아야 했는지 그 내막을 정리해 드립니다.

A professional digital security concept featuring a classic Iowa courthouse building at night. Overlaid with subtle blue digital lock icons and circuit patterns. High contrast, modern cinematic lighting. No text. 4:3

모의 침투 전문가들이 아이오와 법원에서 체포된 배경

2019년 당시 콜파이어 랩스(Coalfire Labs) 소속이었던 게리 드머큐리오와 저스틴 윈은 아이오와 사법부로부터 특별한 임무를 부여받았습니다. 그것은 바로 법원 건물의 물리적 보안 상태를 점검하는 레드팀 작전이었습니다. 이들은 실제 해커나 침입자처럼 행동하며 건물의 취약점을 찾아내는 역할을 맡았습니다.

사건 당일 자정이 조금 넘은 시각, 두 전문가는 댈러스 카운티 법원의 잠기지 않은 문을 발견했고 보조 도구를 이용해 내부 진입에 성공했습니다. 이 과정에서 경보기가 울렸고 출동한 보안 요원들에게 자신들의 신분과 권한을 증명하는 서류를 제시했습니다. 하지만 현장에 도착한 카운티 쉐리프의 판단은 달랐습니다.

정당한 권한이 있어도 왜 감옥에 가야만 했을까

당시 현장에 출동한 부보안관들은 전문가들이 제시한 사법부의 승인 서류를 확인하고 주 법원 관계자와 통화까지 마친 상태였습니다. 권한이 확인되자 분위기는 화기애애해졌고 서로 보안 기술에 대해 이야기를 나누기도 했습니다. 하지만 댈러스 카운티의 쉐리프인 채드 레너드가 도착하면서 상황은 급반전되었습니다.

레너드 쉐리프는 해당 건물이 자신의 관할이며 카운티의 허가 없이 주 정부가 보안 점검을 승인한 것은 무효라고 주장했습니다. 결국 두 전문가는 다음과 같은 혐의로 현장에서 체포되었습니다.

  • 3급 절도 혐의 (중범죄)
  • 무단 침입 혐의
  • 약 20시간 동안 유치장 수감
  • 각각 5만 달러의 보석금 책정

모의 침투 현장에서 제시한 면책 문서가 거절된 이유

보안 업계에서는 실무자들이 법적 책임을 면하기 위해 소지하는 승인서를 ‘감옥 행 면제권(Get out of jail free card)’이라고 부릅니다. 드머큐리오와 윈 역시 이 문서를 소지하고 있었으며 주 사법부의 공식적인 서명이 포함되어 있었습니다. 하지만 관할권 다툼이 이 서류의 효력을 무력화시켰습니다.

쉐리프는 주 정부가 카운티 소유의 건물 보안에 간섭할 권리가 없다고 판단했습니다. 그는 언론을 통해 이들이 불법적으로 행동했다고 지속적으로 비난했으며, 심지어 중범죄 혐의가 경범죄로 낮아진 후에도 기소를 멈추지 말아야 한다고 주장했습니다. 이는 보안 전문가들의 경력에 치명적인 타격을 입히는 행위였습니다.

Close-up of a professional security consultant hands using a specialized tool to check a door locking mechanism. Realistic photography, natural low light setting, focused on the technical process. No text. 4:3

보안 업계 전체를 위축시킨 쉐리프의 강경한 대응

이 사건은 미국 전역의 보안 및 법 집행 전문가들에게 큰 충격을 주었습니다. 합법적인 계약 하에 공익을 위해 일하는 전문가가 언제든 체포될 수 있다는 전례를 남겼기 때문입니다. 저스틴 윈은 이번 합의 후 성명에서 다음과 같은 우려를 표명했습니다.

  • 정부의 취약점을 찾는 행위가 처벌로 이어질 수 있다는 잘못된 메시지 전달
  • 보안 전문가들의 활동 위축으로 인한 공공 안전 저해
  • 개인의 평판과 경력에 회복하기 힘든 피해 발생

당시 쉐리프는 감시 카메라 영상을 언급하며 이들이 범죄자처럼 숨어 다녔다고 조롱 섞인 비난을 이어갔으나, 이는 모의 침투 과정에서 당연히 요구되는 은밀한 침투 테스트의 일환이었습니다.

A wooden judge's gavel resting on a table with a background of glowing blue digital security circuit board patterns. Artistic rendering, textured background, professional lighting. No text. 4:3

6년 만에 60만 달러 합의로 마무리된 소송의 결과

억울하게 범죄자로 몰렸던 두 전문가는 댈러스 카운티와 레너드 쉐리프를 상대로 허위 체포, 명예훼손, 악의적 기소 등에 대한 소송을 제기했습니다. 이 재판은 수년간 이어졌으며, 재판 시작을 불과 며칠 앞두고 카운티 측에서 60만 달러(한화 약 8억 원)를 지급하는 조건으로 합의에 도달했습니다.

이번 합의는 이들의 활동이 정당했으며 공익을 위한 전문적인 작업이었다는 점을 공식적으로 인정한 셈입니다. 드머큐리오는 현재 자신의 보안 회사를 설립하여 활동 중이며, 이번 결과가 실추되었던 자신들의 명예를 회복하는 중요한 계기가 되었다고 밝혔습니다.

안전한 모의 침투 업무를 위해 반드시 확인해야 할 요소

이번 사례는 보안 점검을 수행하는 기업과 전문가들에게 중요한 교훈을 남겼습니다. 단순히 상위 기관의 허가를 받는 것만으로는 부족할 수 있다는 점입니다. 향후 유사한 사고를 방지하기 위해 다음 사항들을 점검해야 합니다.

  • 해당 건물의 실질적인 관리 주체와 관할 경찰서의 사전 협조 확인
  • 주 정부와 지방 자치 단체 간의 관할권 분쟁 소지 파악
  • 체포 및 구금 상황 발생 시 즉각 대응할 수 있는 법적 지원 체계 마련
  • 점검 범위와 방식(물리적 공격 포함 여부)에 대한 상세한 서면 합의

Two professional individuals in business attire shaking hands in a modern office environment, symbolizing a legal settlement and agreement. Warm natural lighting, clean composition. No text. 4:3

보안 전문가의 명예와 안전을 보장하는 사회가 되길

이번 60만 달러 합의 사건은 단순한 금전적 보상을 넘어 보안 전문가의 권익을 보호해야 한다는 상징적인 의미를 담고 있습니다. 모의 침투 테스트는 시스템의 약점을 미리 파악하여 더 큰 범죄를 막는 필수적인 과정입니다. 전문가들이 자신의 업무에만 집중할 수 있도록 법적, 제도적 안전장치가 더욱 공고해지기를 기대합니다.

출처: https://arstechnica.com/security/2026/01/county-pays-600000-to-pentesters-it-arrested-for-assessing-courthouse-security/

함께 보면 좋은 글

#모의침투 #화이트해커 #보안점검 #아이오와법원 #합의금 #사이버보안 #레드팀 #보안취약점 #명예훼손 #보안전문가

Leave a Comment

error: Content is protected !!