|
|
수사기관 (갑제5호증의 1) |
1심 증언 (반대신문 15항) |
10. 6.자 준비서면 |
12. 15.자 준비서면 |
12. 29.자 참고서면 |
콜센터 상담원 |
-전용선1) |
전용선 |
-서버에 대한 접근 권한이 부여되지 않음 -아이디와 패스워드를 부여받아 이노믹스 서비스 웹사이트에 접속이 가능하도록 함 |
|
|
배송업체 상담원 |
-방화벽을 거쳐 접속 -사고 이후, 방화벽 설정을 인터넷 외부에서 이노믹스 서버로의 접근을 모두 차단 -사고 이후에는 모든 외부 접속이 차단되어 현재 VPN을 통해 내부망으로 연결토록 조치 |
-수사기관에서의 진술은, 임시로 특정 접속을 차단하고 VPN을 통해서 접속하도록 했다는 의미 (15의 5항) |
|
-수사기관에서의 진술은 ‘인터넷을 통한 이노믹스 서비스에 대한 접근을 차단하고, VPN을 사용하여 서비스에 접근하도록 조치하였다는 의미임 -수사기관에서 서비스에 대한 차단을 서버에 대한 차단이라고 잘못 표현한 것 | |
외주개발업체 |
-VPN을 통해 인증하고 접속 |
VPN |
VPN |
|
|
고객 |
|
|
-웹사이트 접속을 위한 별도의 ID와 패스워드를 부여(을제55호증) -이노믹스 서버 자체에 관리자 권한을 가지고 접근한 것이 아님 |
-옥션 ID와 패스워드를 입력함으로써 이노믹스 서비스에서 제공하는 온라인 상담서비스에 접속할 수 있음 -별도의 아이디와 패스워드는 필요하지 않음 |
-아이디와 패스워드를 받는 인증절차가 필요하다는 의미에서 ‘별도’라는 표현을 사용한 것임 |
(1) 피고는 (은밀하게 제출한1)) 12. 29.자 참고서면에서 두 가지 점에서 자신의 진술이 모순되고 허위였다고 인정하였습니다. 그 첫 번째가 ‘피고가 10. 6.자 준비서면에서 상담고객에게 웹사이트 접속을 위한 별도의 아이디와 패스워드가 필요하다고 한 것은 이노믹스 서비스 이용을 위해서는 상담 고객이 옥션 회원에 가입하여 아이디와 패스워드를 받는 인증절차가 필요하다는 의미로서 별도라는 표현을 사용한 것’(12. 29자 참고서면 제23면)이며, ‘온라인 사이트가 제공하는 서비스를 이용하기 위하여는 온라인 사이트만의 별도 회원 아이디와 패스워드 등의 인증절차가 필요하나, 특정 서비스 사용 시마다 온라인 사이트 회원 아이디와 패스워드 외에 별도의 아이디와 패스워드를 부여하지 않는 것은 당연한 일’(제24면)이라는 주장입니다.
피고의 이전 준비서면에서는 ‘상담고객, 상담원, 택배사 상담원 등의 경우에는 별도의 아이디와 패스워드를 부여하여 이노믹스 서비스 웹사이트에 접속’(10. 6.자 제8면)하였다고 하여 분명히 다른 상담원들과 같이 이노믹스 서비스 웹사이트를 위한 ‘별도’ 아이디라고 표현했던 것이며, 이것이 온라인 사이트만의 ‘별도’ 아이디와 패스워드를 받는 인증절차(12. 29.자 제24면)라고는 도저히 읽혀지지 않는 것은 명백합니다. 옥션사이트의 고객이라면 당연히 이미 아이디와 비밀번호를 부여받았을 테고, 이러한 고객들이 상담을 하기 위해 (별도의 아이디와 패스워드가 필요하지 않고) ‘기왕에 받은’ 아이디와 패스워드로 사이트에 로그인만 하면 되는데 이러한 설명을 하면서, 상담을 신청하기 이전에 애초에 옥션사이트에서 회원 가입할 때의 아이디, 패스워드를 받는 인증절차를 언급한다는 것도 말이 안 될 뿐만 아니라, 이를 ‘별도의’ 아이디 패스워드가 필요하다고 하였던 거짓말에 대해 도대체가 무슨 말인지 모를 궤변에 가까운 변명입니다.
지금이라도 10. 6.자 준비서면이 마치 일반 고객들도 이노믹스 서비스 웹사이트에 접속하려는 듯이 보이기 위한 허위 주장이었음을 솔직히 인정하고 사과하기 바랍니다.
(2) 더욱이 피고는 10. 6.자 준비서면에서 고객이 별도의 아이디와 패스워드를 부여받는다고 하면서, 이노믹스 웹사이트의 로그인 화면(을제55호증)을 보여주었습니다. 따라서 위 피고의 변명과 같이 상담을 원하는 고객이, 애초에 아이디와 패스워드를 부여받는 인증절차를 의미했다는 피고의 변명이 사실이 아님을 여실히 보여준다 하겠습니다.
(3) 피고는 ‘일반 고객은 옥션 사이트에서 옥션 ID와 패스워드를 입력함으로써 이노믹스 서비스에서 제공하는 쌍방향 온라인 상담서비스에 접속할 수 있다’(12. 15.자 준비서면 제18면)라고 하고 있습니다.
이 역시 거짓말입니다. 이노믹스 웹서비스에 고객들은 접속할 필요가 없으며, 이노믹스 웹사이트에는 오직 상담원들이 접속할 수 있고 이를 위해 별도의 아이디와 비밀번호로 로그인하게 하는 것입니다(을제55호증). 따라서 온라인 상담서비스에 접속할 이유도 전혀 없으며, 실제로 피고 옥션의 사이트에서 상담은 고객이 특정한 웹사이트에 접속하여 하는 것이 아니라 이메일을 통한 상담만 하고 있습니다(갑제29호증 고객센터 상담원 문의 사이트 캡처화면). 피고에게 고객이 이노믹스 웹사이트에 접속한다는 의미에 대해 구체적으로 설명하도록 석명을 구합니다.
따라서 고객이 별도의 아이디와 비밀번호로 이노믹스 서비스에 접속한다는 사실도 거짓말일 뿐만 아니라, (아이디와 비밀번호를 부여받음이 없이 애초에 회원가입시의 아이디와 비밀번호로 사이트에 로그인한 후) 고객 상담을 받을 때 이노믹스 서비스에 접속한다는 것도 전혀 사실이 아닙니다.
이와 같이 피고는 사실을 은폐하기 위해 철저히 왜곡된 주장을 하였는바, 원심은 이러한 피고의 현란한 주장에 현혹된 나머지, ‘피고 옥션의 회원이 옥션 사이트에 로그인한 다음 온라인 상담서비스를 이용하는 경우에 이노믹스 서버에 접속되도록 하였다’(원심 판결문 제13면)고 완전히 사실에 어긋난 판단을 한 것입니다. 온라인 상담서비스를 이용하는 경우에도 이노믹스 사이트에 접속하지도 않은데(이 점에 대해 피고는 허위 주장을 하였음), 피고가 주장하지도 않은 이노믹스 서버에 접속되도록 하였다는 잘못된 사실을 그대로 인정하게 된 것입니다.
나. 이노믹스 서버에 대하여 필요한 범위 내에서 기술적인 보안조치를 취하고 있다?
피고는 원고의 거듭된 3차례의 석명요구에 묵묵부답하다가, 은밀하게 제출한 참고서면에서야 답변을 하였습니다. 즉 ‘피고가 사고 이후의 잠정적 보안조치로 배송업체 상담원에 대하여 인터넷을 통한 이노믹스 서비스에 대한 접근을 차단하고 VPN을 사용하여 서비스에 접근하도록 조치’(12. 19.자 참고서면 제17면)하였다는 부분이 그것입니다. (이러한 피고의 주장을 볼 때, 사고 이후에 VPN 인증을 도입한 것이 아니냐는 취지의 원고대리인의 신문에 대하여, ‘악성코드가 발견되어서 유입경로 등을 파악하기 위해서 임시로 특정 접속을 차단하고 인증인가를 받을 수 있는 VPN을 통해서 접속하도록 했다’(반대신문 15의 5항)고 하여 VPN 인증을 도입하지 않았다는 길기현의 증언은 위증임이 확실합니다).
피고는 여전이 ‘잠정적으로 인터넷으로부터의 모든 접근을 차단하고, 배송업체에 대하여도 VPN을 총하여 접속하도록 하는 특단의 임시조치를 취한 것’(제20면)이라고 하나, 이는 사실이 아닙니다. 배송업체 측이 아이디와 비밀번호만으로 인터넷에서 접속할 수 있게 한 것이 보안상의 큰 허점이라고 생각했으므로, 배송업체 상담원에게 해킹 사건 이후 VPN을 통한 접속만을 허용한 것입니다. (피고가 주장한 바와 같이 잠정적인 임시조치였다면, 현재에는 배송업체 상담원에게 어떠한 보안조치 하에 접속하게 하는지 석명을 구합니다)
이렇게 보안조치를 해킹사고 이후에 완전히 바뀐 것, 그리고 이를 길기현이 1심 증언과정에서 은폐하려 한 것을 볼 때, 아이디와 비밀번호만으로 웹서비스에 접속하도록 하는 것(그로 인하여 서버의 이용권한까지 취득할 수 있도록 하는 것)이 보안상 취약하다는 점은 명백한데도 불구하고, 원심은 ‘필요한 범위 내’라는 극히 애매한 표현으로 보안조치를 다 하였다고 하였으나 이는 사실오인, 법리오해의 위법이 있는 잘못된 판단입니다.
다. 아이디 및 비밀번호 입력과 같은 인증 및 인가 절차를 시행하고 있어 과실이 없다는 판단에 대하여
원심은 ‘피고 옥션은 이노믹스 서버에 웹서비스를 통하여 접속하거나 직접 접속하는 모든 사람에 대하여 아이디, 비밀번호 입력과 같은 인증 및 인가 절차를 시행하고 있었다’는 이유로 보안조치에 관하여 주의의의 위반이 없다고 판단했습니다. 그러나 아이디와 패스워드로 하는 인증절차가 얼마나 허술한지, 피고 옥션에서 이 사건 해킹사고 후 배송업체들도 VPN인증을 거치도록 한 점에 대해서는 아무런 고려 없이 막연하게, 피고의 왜곡된 주장만을 취신한 판단으로 위법합니다.
(1) 배송업체는 (웹방화벽이 아닌) 네트워크 단의 일반 방화벽을 통하여 접속하였습니다. 배송업체 상담원들은 전용선을 통과하지도 않았을 뿐만 아니라 VPN 인증을 거치지 않고 서버에 접속을 하여, 극도로 보안이 취약하였던 것입니다(증인 홍민표 신문사항 2의 나항).
ID/PW만을 이용해 개인정보처리시스템에 접속 시 키로깅 등에 의한 ID/PW 노출에 따른 위험이 증가하므로 추가적인 인증수단이 필요(갑제20호증 참조)한데도 만연히 아이디, 패스워드만으로 인증을 한 것입니다. 실제로 이 사건에서는 이노믹스 서버에 접속할 수 있는 아이디를 탈취하여 해킹이 이루어진 것이므로, 아이디, 패스워드만의 인증의 위험성으로 인하여 해킹이 발생하였던 것입니다. 아래에서 보듯이, 인터넷으로 접속할 경우 방화벽이 있다고 하더라도 특정포트가 외부에서 접속할 수 있도록 열려있는 것이기 때문에, ID와 패스워드만 알면 관리자 권한을 쉽게 탈취할 수 있게 되는 것입니다(갑제30호증).
(2) 피고는 방화벽 설정과 관련하여 ‘배송업체의 상담원들은 허용된 특정 포트를 통하여 필요한 서비스에 접근하였으며, 공개 서비스를 제외한 나머지 서비스에 대해서는 접근할 수 없었다’(12. 15.자 준비서면 제18면)고 하여 마치 ‘방화벽’이라는 용어와 결부지어 대단한 보안조치를 취한 것처럼 주장합니다. 그러나 ‘네트워크단의 일반 방화벽’이란 것 자체가 다른 포트는 차단하고 특정한 포트를 완전히 열어놓는 것입니다. 따라서 웹의 특성상 방화벽을 설치하더라도 사용하는 서비스 포트는 항상 개방해야 하기 때문에 웹서비스 포트를 향한 공격에 대해서는 무방비 상태로 노출되게 됩니다(갑제7호증 제67면). 따라서 웹사이트에 대한 공격이 있었던 이 사건 해킹에 대해서는, 방화벽으로 아무런 보안이 되지 않는 것입니다. 피고는 ‘일반 방화벽’의 일반적 특성만을 서술하고서 굉장한 보안조치를 취한 듯이 주장하고 있는 것이나, 이는 허용된 특정포트를 향한 공격에는 무방비 상태이므로 과실을 자인하는 것입니다. (피고는 이러한 공격을 차단하기 위한 웹방화벽을 설치하지 않았습니다)
피고는 특정포트를 통하여 필요한 서비스에 접근하였는데, ‘공개 서비스’를 제외한 나머지 서비스에 대해서는 접근할 수 없었다고 합니다. 피고가 말하는 ‘공개 서비스’의 의미가 무엇인지 모르겠으나, 공개 서비스라면 인터넷을 통한 일반적인 접속과 다를 바 없으므로, 결국 피고가 말한 방화벽은 특별한 보안조치라고 할 바가 전혀 없습니다(일반 이용자들의 공개된 사이트에의 접속도 당연히 방화벽을 통과하게 되므로 배송업체에 대해서는 별다른 보안조치를 취하지 않았다는 것입니다).
또한 피고가 말하는 ‘공개’ 서비스만 접속하게 했다는 것도 사실을 의도적으로 왜곡하는 것에 불과합니다. 일단 피고가 그 증거라면서 제시한 을제116호증으로 ‘공개’ 서비스만 접속했다는 것이 전혀 드러나 있지 않을 뿐만 아니라, 배송업체의 상담원들이 접속하게 되는 이노믹스 웹사이트가 ‘공개’된 것도 전혀 아닙니다. 방화벽을 통과해야 하므로 특정 포트로만 접속이 가능하다고 주장해놓고, 이 웹사이트가 ‘공개’되었다는 것은 무슨 말입니까? 아이디와 비밀번호로 로그인까지 해야 하는데 ‘공개’ 서비스 운운하는 피고의 주장은 사실을 호도하고 있는 것에 불과합니다.
(3) 그러면서 피고는 ‘배송상태 관련 답변과 같은 제한적인 정보를 업데이트하거나 조회할 수 있도록 방화벽을 통한 통신망 접근을 허용’(12. 15.자 제18면)하였다고 합니다. 피고가 말하는 위와 같은 서비스가 ‘공개’ 서비스도 아닐 뿐만 아니라 의도적으로 제공하는 서비스를 축소하고 있는 것입니다. 위 이노믹스 웹사이트에서 확인할 수 있는 정보는 위와 같은 것이 아니라, 배송을 위하여 필요한 배송지, 배송 받을 고객의 정보도 알아야 함은 당연합니다. 위 서비스가 공개되었다는 의미, 배송업체에서 접속하여서 확인할 수 있는 정보가 무엇인지 증거자료에 의해 밝히도록 석명을 구합니다.
(4) 피고는 ‘고객상담원이나 외주개발업체의 경우 회사와 매우 밀접한 신뢰관계가 형성되어 있어 전용선과 VPN을 통한 인증절차를 거치게 하였고, 배송업체들의 경우는 신뢰관계가 형성되지 않아 인터넷을 통하여 웹서비스에 접속하도록 하였다’(12. 15.자 제17면)고 합니다.
피고는 신뢰관계가 형성되지 않아 인터넷을 통한 접속을 허용하였다고 하는데, 신뢰관계가 형성되지 않은 자라면 더욱더 보안에 철저하게 VPN 인증을 거치는 등 별도의 보안장치가 필요할 것(증인 홍민표 신문사항 2의 나항)인데도, ID, 패스워드만으로 로그인하게 하여 피고의 웹서비스를 제한 없이 이용하게 한 것입니다. 피고의 주장과 같이 신뢰관계가 없기 때문에 더 허술한 보안을 하였다는 것 자체가 말이 안 됩니다.
더욱이 이 사건 해킹이 발생한 이후, 사고 이후에는 방화벽 설정을 인터넷 외부에서 이노믹스 서버로의 접근을 모두 차단하고 VPN 인증을 통하여서만 접속하게 하였던 것(증인 길기현 반대신문 15의 5항)을 어떻게 설명한단 말입니까? 피고의 논리대로라면, 신뢰관계가 없는데도 현재까지 배송업체들도 VPN 인증을 하는 이유가 도저히 설명이 안 됩니다. 신뢰관계 유무에 따라 접속 방법에 차등을 두었다(더욱이 신뢰관계가 없을수록 더욱 허술한 방법으로 접속을 하게 하였다)는 피고의 주장이 사실이 아님을 보여주는 것입니다.
라. 피고는 이노믹스 서비스의 접속과 이노믹스 서버에의 접속이 다르다고 하여 혼동을 주고 있고, 원심도 이에 경도된 것으로 보입니다.
(1) 피고가 주장하는 황당한(그로 인하여 원심이 판단에 착오를 일으킨) 논리 중의 하나가 ‘서비스에 대한 접근’과 ‘관리자 권한을 가지고 서버 자체에 접근(10. 6.자 제6면)’, ‘관리적인 목적의 서버 접근(12. 29.자 제14면, 제21면)’을 구별하고 있는 것입니다. 그러나 개발업체가 '필요한 프로그램을 개발하고 정기적으로 유지․보수‘(12. 15.자 준비서면 제17면)하기 위하여 (VPN을 통하여 웹사이트를 거쳐2)) 웹서버에 접속하는 것은 이 사건의 쟁점과 전혀 무관한 것입니다. 피고는 이와 같이 개발업체가 웹서비스 및 웹서버의 본래의 목적과는 달리, 유지․보수 목적의 서버 접속이라는 개념을 등장시켜 혼란을 주려하고 있는 것입니다.
원고가 말하는 웹서버에의 접속은, 위와 같이 (예외적인) 개발업체의 유지․보수 목적의 서버 자체에 대한 접속이 아닌, 웹서비스에 접속을 하게 되면 자동적으로 하게 되는 웹서버에의 접속을 말한 것입니다. 웹서비스에 접속을 하는 것은 웹서버에 저장되어 있는 데이터 등을 이용한 서비스를 제공받기 위한 것입니다. 웹서버에서 제공하는 데이터 등을 이용하지 않고서는 웹서비스라는 개념 자체가 성립하지 않고 아무런 서비스가 제공되지 않는 것입니다. 따라서 결국 ‘웹서비스에 접속’과 (웹서비스를 이용하기 위해서는 반드시 필요하므로 웹서비스에 접속하게 되면 결국 하게 되는) ‘웹서버에 접속’은 다른 의미가 아니라고 한 것입니다. 피고는 이러한 점을 완전히 무시하면서, 이 사건 해커가 웹서버에 접속한 것은 자신들이 알 수 없는 경위로 접속한 것이고 웹서버에 대한 보안이 완벽했다고 주장하기 위하여 위 둘이 마치 구별되는 개념인 양, 전혀 이질적인 개념인 ‘관리자 권한을 가지고’ 웹서버에 ‘직접’ 접속 개념을 끌어들인 것입니다.
(2) 피고의 직원 길기현도 수사기관에서 ‘방화벽 설정을 인터넷 외부에서 이노믹스 서버로의 접근을 모두 차단하였다’(갑제5호증의 1 제248면)고 하여, 이노믹스 ‘웹서비스’에 대한 차단이 결국에는 ‘서버’로의 접근이 차단된다는 것, 즉 서비스에 접속하는 것이 결국에는 서버에 접근하는 것이라는 사실을 명백히 인정하고 있습니다. 서비스에 대한 접속이 서버에 대한 (이용 목적의, 따라서 권한을 취득할 수 있는) 접속이라고 볼 수 있고, 실무상 당연히 이렇게 쓰이고 있기 때문에 그와 같이 진술한 것입니다.3)
(3) 따라서 원고가 일관되게 주장해 온 바와 같이, 일반인에게는 전혀 공개되지 아니한 이노믹스 웹서비스가 해커에게 노출되었고, 결국에는 이노믹스 서버가 해커의 공격의 대상이 되어 관리자 권한까지 탈취하여 이노믹스 서버에 접속하였던 것입니다.
공개되지 아니하여야 할 이노믹스 서비스 웹사이트의 주소가 해커에게 발각되었습니다(피고 역시 자신이 제출한 증거자료에서 이노믹스 서비스 웹사이트의 주소를 공개하지 않고 있는 것을 보아도, 주소가 일반인에게 공개되지 아니하여야 함을 보여줍니다). 이에 따라 이노믹스 웹서비스에 웹쉘을 설치하여 관리자 권한을 탈취한 후, 웹서비스와 연동되어 있는 이노믹스 웹서버가 해커에게 노출되었던 것입니다. (이후 후술하는 바와 같이 이노믹스 서버에 접속한 해커는 데이터베이스 서버의 아이디와 비밀번호까지 탈취하게 된 것입니다)
피고는 이노믹스 웹서비스의 웹사이트 주소가 공개되지 아니하여야 한다는 점, 이노믹스 서비스 서버가 노출되지 않아야 한다는 점에 대해서는 전혀 다투지 못하고 있으면서, 이와 같이 왜곡된 개념으로 재판부에 혼란을 주고 있는 것입니다.
3. 피고 옥션의 허술한 아이디와 비밀번호로 인하여 이 사건 해킹이 시작된 것입니다.
가. 이노믹스 서버 시스템의 톰캣 서버의 아이디와 비밀번호는 초기 기본 설정이 아무런 변경 없이 유지되었고, 해커는 바로 이 약점을 파고들어 침입한 것입니다.
피고 옥션의 이노믹스 서버 시스템에 톰캣4) 서버가 설치되어 운용되고 있었습니다. 그런데 톰캣 서비스의 아이디는 admin, 비밀번호는 admin으로 초기 설정 상태 그대로 운영되고 있었습니다(갑제7호증, 원심 판결문 제4면5)). 따라서 해커는 바로 이러한 허점을 찾아내어 톰캣 서버에 admin 아이디로 접속한 것입니다(갑제7호증).
그런데 원심은 경솔하게 ‘비밀번호는 기본으로 설정되어 있는’ 이라는 의미를 제대로 파악하지 못하고, 또한 갑제7호증 상에는 ‘admin 아이디로 접속’하였다고 기재되어 있으나 이를 누락하고 ‘톰캣 서버에 접속’이라고만 한 것입니다. 이로 인하여 원심은 해커가 아무런 특별한 기술적 조치 없이 톰캣 서버를 통하여 접속하였다는 중요한 사실을 간과한 것입니다. 이를 볼 때, 원심 판결은 첫 단추부터 잘못 끼워진 것입니다.
그렇다면 톰캣 서버를 발견한 해커는 어떻게 톰캣 서버에 접속하였겠습니까? 단순히 애초의 기본설정인 admin을 입력하여 본 결과 그대로 접속할 수 있었던 것입니다. 이에는 어떠한 특별한 기술도 없었습니다. 관리자 아이디가 'admin'이나 상호명으로 되어 있으면 보안에 취약하고(갑제7호증 제81면), 국가정보원 국가사이버안전센터가 분석한 사고사례 분석의 경우, 아이디 admin, 비밀번호 한자리로 이루어진 웹서버 관리자의 관리자 계정이 취약하다고 적시하고 있는 점(갑제14호증 제26면)을 보아도 이는 피고 옥션의 명백한 과실입니다.
경찰조사 과정에서 피고 옥션의 직원인 길기현은 ‘2000년경 납품되어 톰캣이 아닌 IIS가 운영되고 있었고, 이노믹스 서버와의 연동을 위해 톰캣이 설치되어 운영되고 있었는데 그 당시 설정이 계속 유지되었으나, 이미 설정이 완료된 톰캣 관리자의 비밀번호 등에 관한 정보는 모르고 있었습니다’라고 밝히고 있습니다. 즉 피고 옥션은 톰캣 서버를 설치하면서 관리자 아이디와 비밀번호를 초기 설정인 ‘admin’ 그대로 유지되고 있었던 것이고, 관리책임자인 피고 옥션도 비밀번호를 재설정하지 않은 것입니다. (피고가 위 진술이 기재되어 있는 길기현의 2008. 4. 4.자 피의자신문조서를 복사하여 제출하도록 석명을 구합니다)
해커는 아이디와 비밀번호를 admin로 입력해 보았다가 바로 이러한 황당한 허점 때문에 너무나 쉽게 톰캣 서버에 침입하여 ① 톰캣 서버에 침입하여 백도어프로그램을 설치하였고, ② IP주소 등 시스템 정보를 획득하고, ③ 통신 내용에서 데이터베이스 서버의 아이디 'auction', 비밀번호 ‘auctionuser'로 위 서버에 접속하는 등(판결문 제4, 5면) 모든 해킹행위의 시발점이 된 것입니다.
따라서 이노믹스 시스템의 톰캣 서버의 아이디와 비밀번호가 애초에 제품 출시 때부터 설정되어 있는 기본 아이디와 비밀번호인 admin을 다른 아이디와 비밀번호로 변경하지 않은 있어서는 안 될 황당한 실수를 한 것이고, 이러한 점에 피고의 과실이 있음은 명백합니다. 이미 이러한 사실관계를 파악해 놓고도 이에 관해 아무런 판단을 하지 않은 원심 판단은 위법합니다.
나. 이노믹스 서버의 비밀번호도 피고 회사의 정보보호정책 및 관리지침에 정면으로 반합니다.
피고는 이노믹스 서버의 비밀번호에 피고 회사의 회사명이 들어간 것이 피고 회사의 정보보호정책 및 관리지침에 반한다는 원고의 주장에 대해 아무런 반박을 하지 못하고 있습니다. 이노믹스 서버의 아이디는 tltmxpaxla6), 비밀번호는 ‘auctionuser....'이었습니다. 피고 회사의 정보보호정책 및 관리지침(을제9호증)에 의하면 패스워드는 영어대문자, 영어소문자, 십진법 아라비아 숫자, 특수문자 중 적어도 3가지 이상을 포함한 8자 이상으로 하여야 하고, 패스워드에는 쉽게 추측할 수 있는 회사명이 포함되지 않도록 하여야 한다(을제9호증 제45면)고 명백히 규정하고 있습니다.
따라서 이렇게 피고 회사의 지침에 정면으로 반한 비밀번호를 운영하였기 때문에 아이디와 비밀번호를 해커가 쉽게 파악하여 이노믹스 서버에 접속할 수 있었던 것입니다. 그러나 원심은 데이터베이스 서버의 아이디, 비밀번호 부분만 판단한 것으로, 원고의 주장 사실에 대한 판단 유탈을 한 위법이 있는 것입니다. 피고 인포섹이 작성한 안전진단 결과보고서(을제6호증)에 의하면 피고 옥션의 ‘일부 서버에서 패스워드 최소 길이가 8자 미만으로 설정되었고, 일부 취약 패스워드는 크랙 되는 경우도 있다고 하고 있습니다(을제6호증 제36면, 증인 반대신문 제18의 1항). 이를 볼 때도 허술한 비밀번호로 인해 해커에 의해 비밀번호가 쉽게 크랙된 것을 알 수 있습니다. 그럼에도 피고 옥션의 과실이 없다고 한 것은 비밀번호를 잘못 설정한 데 대한 사실오인, 과실에 대한 법리오해가 있는 위법한 판단입니다.
(DB서버의 아이디, 비밀번호는 DB관련 부분에서 후술함)
4. 웹쉘이 이노믹스 서버에 설치되었음에도 이를 발견하지 못한 점에 피고의 과실이 없다는 판단에 대하여
위에서 본 바와 같이 피고의 이노믹스 서버가 노출되어 있었고, 해커는 톰캣 서버의 아이디, 비밀번호가 초기 그대로 변경되지 않고 설정되어 있는 것을 기회로 쉽사리 톰캣 서버에 침입하였습니다. 해커는 이와 같이 이노믹스 서버에 침입한 이후, 관리자 권한을 취득하기 위하여 웹쉘을 설치하였습니다. 원심은 피고들이 웹쉘을 발견하지 못한데 대해서도 이상한 논리로 피고들의 과실을 인정할 수 없다고 하였는바, 이는 전적으로 잘못된 것입니다.
가. 원심은 웹쉘을 탐지하지 못한 피고들의 과실에 대해 명시적인 판단을 하지 않았을 뿐만 아니라, 웹쉘을 인지한 시기가 이 사건 해킹이 끝난 이후였다는 것을 근거로 과실이 없다고 판단하였습니다.
(1) 원고는 1심 과정 내내 피고 옥션과 옥션의 보안관제 업무를 담당한 피고 인포섹 측이 당시 이미 널리 알려진 웹쉘을 발견하지 못한데 대하여 과실이 있다는 점을 주장하였습니다. 그러나 원심은 휴리스틱 기능이 전문화된 백신 프로그램을 사용하지 않았고 탐지할 수 없는 백신프로그램을 사용하였다고 하여 과실이 없다는 판단만 하였을 뿐, 과실에 대해 구체적인 판단을 하지 않았습니다.
피고 옥션의 웹서버에서 발견된 웹쉘은 ASP목마2006 이었습니다. ① 위 웹쉘의 명칭에서 볼 수 있듯이 대중적으로 알려진 것은 이미 2006년도여서, KISA에서 2007년 2월에 만든 자료(갑제21호증)에도 이미 ASP목마2006에 대한 탐지방법이 이미 나와 있었던 점, ② 해커가 웹을 통해 요청할 때 네트워크에서 패킷 탐지가 충분히 가능하고, 이 때 검색을 통해 특정문자열이 들어가 있는지만 살펴보았더라도(갑제21호증 2007. 2. KISA 웹쉘의 현황 및 분석 제10면 참조) 웹쉘의 설치 및 구동 여부를 충분히 파악할 수 있었던 점 등에서 이를 탐지하지 못한데 피고들의 과실은 충분히 인정되며, 단지 (휴리스틱 기능이 전문화된) 백신 프로그램을 설치한지 여부만으로(물론 그에 관한 원심 판단도 잘못되었지만) 피고들이 과실이 없다고 판단할 수는 없는 것입니다.
피고 옥션은 국내 최대의 인터넷 쇼핑몰을 운영하는 회사로서 2,000여만 명의 고급 정보를 보유하고 있는 회사였습니다. 이런 회사에서 최대한의 보안조치를 해야 함에도 단지 탐지가 어렵다고 하여 과실이 부인되는 것은 아니고 더욱 엄격한 주의의무를 부과하여야 합니다. 큰 회사의 서버를 관리하는 피고들로서는 여러 공격을 당하게 되므로 다양한 웹쉘을 접할 수가 있기 때문에 충분히 웹쉘 정도는 탐지가 가능하고 당연히 탐지를 했어야 하는 것입니다.
웹쉘의 코드가 스크립트 언어로 쓰여지거나 인코딩 되어 있다고 하더라도 통신 자체를 암호화하지는 않으므로 해커가 웹을 통해 요청할 때 네트워크에서 패킷 탐지가 충분히 가능하고, 이 때 검색을 통해 특정문자열이 들어가 있는지만 살펴보았더라도 웹쉘의 설치 및 구동 여부를 충분히 파악할 수 있었을 것입니다. 또한 암호화가 되어 있다 한들 자신의 웹서버에 있는 일반 정상적인 파일이 아님은 쉽게 알 수 있으므로 웹쉘을 탐지하기 어렵다는 것은 말이 안 될 뿐만 아니라, 웹쉘의 탐지가 불가항력적인 것은 전혀 아니므로 피고의 주장은 이유 없습니다.
보안이라는 것은 별 것 아닌 것 같은 현상들을 연계분석하고 그 안에서 문제를 발견하여 정의하며, 정의된 문제를 정책으로 피드백하는 일련의 작업들을 하는 것입니다. 자신의 회사가 공격받은 성향을 분석하여 관제모니터링과 그 결과를 부지런히 반복해서 피드백하는 과정을 통해 현재의 공격 트렌드를 분석하면 충분히 대비할 수 있는 것이었습니다(갑제26호증 정보보호21 2010년 1월호 기사).
(2) 원심은 피고들이 이 사건 해킹 사고 당시 적절한 대응조치를 취하지 아니하여 해킹 사고를 막지 못한 것은 아니라고 판단하였습니다. 그러나 원고가 주장, 입증하여 원심이 인정한 사정만으로도 피고가 웹쉘을 탐지하지 못한 데 대하여 과실이 충분히 인정됩니다.
① 피고 인포섹이 피고 옥션과 공동으로 2008. 1. 4. 22:00경7) 침입탐지시스템(IDS) 및 방화벽에 대한 점검을 한 후, 2시간 후인 00:00경 외부에서 공격이 시도된 적이 없었다고 피고들은 판단하였습니다(을제101호증 제6면, 원심 판결문 제25면 인정사실(1)항).
그러나 이러한 피고들의 판단은 성급했고 오류가 있었다는 점은 이미 드러난 바와 같습니다. 피고 옥션의 웹사이트의 속도 저하는 피고 인포섹이 이와 같이 보고한 이후인 1. 4. 1:48경에도 계속되고 있었으며, 더욱이 피고들은 위 문제의 원인이 이노믹스 서버라는 것도 당시 이미 파악하여 1. 4. 01:27경에는 이노믹스 서버에 접속하여 점검을 계속하고 있었고 09:00경 피고 옥션의 바이러스 백신으로도 악성 코드를 발견할 수 있었던 상태였습니다.
따라서 웹서버에 공격 가능성을 이미 알고 있었음에도, 웹서버 분석 결과가 아닌, 네트워크 단에서의 탐지시스템인 IDS와 (웹방화벽이 아닌) 네트워크 방화벽 로그만의 분석에 기해 이상이 없다고 판단한 것(을제105호증 제6면에 의하면 IDS, 방화벽 로그를 분석한 결과 외부에서의 공격이 시도된 내용은 없다고 기재되어 있습니다)은 보안업체로서 지극히 안이하고 형식적인 탐지였으며, 이는 이 사건 해킹과는 전혀 관계없이 엉뚱한 조사를 한 것입니다. 그럼에도 원심은 이러한 사실에 기해 과실이 없다고 판단했는바, 명백한 사실오인입니다.
② 피고 인포섹은 1. 8. 02:55에야 이노믹스 서버에서 웹쉘인 ‘ASP목마2006’을 발견하고, 이를 04:28경 보고서를 통해 웹쉘이 발견되었음을 피고 옥션에게 알려주었는데, 제3자의 시스템을 원격 제어할 수 있는 웹쉘로서 심각도는 마이너라는 내용이었습니다(갑제12호증의 1, 원심 판결문 제26면 인정사실(5)항).
피고 측은 이미 이노믹스 서버에 문제가 있어 탐지까지 하였지만, 이를 발견하지 못한 것입니다. 만약 해킹의 징후가 있었던 1. 3.경이나, 1. 4. 이노믹스 서버를 점검하여 웹쉘을 파악하였다면 해킹을 막을 수 있었을 것입니다. 그러나 피고들은 1. 4. 01:27경 이노믹스 서버에 접속하여 점검하였음에도 웹쉘의 존재를 전혀 파악하지 못한 것입니다. 이렇게 뒤늦게 웹쉘이 설치되었음을 파악한 데 대하여 피고들의 과실임은 부인할 수 없습니다.
그럼에도 원심은 웹쉘을 늦게 파악하여 결과적으로 해킹을 막지 못한 피고들의 과실을 부인할 수 없을 것 같자, 이상한 논리로 피고들을 면책시켰습니다. 즉 ‘웹쉘을 인지한 시기는 이 사건 해킹이 이미 끝난 2008. 1. 8. 04:28경 이후였’으므로 과실이 없다는 취지인 것 같습니다. 도대체 무슨 말입니까? 웹쉘을 늦게 파악하여 결국 해킹을 인지하지 못한 명백한 과실을, 해킹이 끝난 이후에 파악하여 대처가 늦어져서 해킹에 속수무책으로 당하였어도 과실이 없다는 원심 판단은 경험칙, 논리칙에 반한 것으로 사실오인, 법리오해의 위법이 있습니다.
이는 도둑에게 털리고 난 후에 도둑맞은 것을 알았으므로, 경비업체에 과실이 없다고 한 것과 무엇이 다르겠습니까?
(3) 더욱이 피고 인포섹은 2006년 2월 27일 ‘ASP목마2006과 응용’이라는 제목의 악성코드 분석보고서(갑제31호증)를 제작하였는바, 피고 인포섹은 이미 2006년도 초반에 이 사건 해킹에 사용된 웹쉘인 ASP목마2006의 구성, 탐지방법 및 조치사항 등을 사전에 모두 파악하고 있었습니다.
ASP목마2006의 구성 파일들도 파악하고 있었고(갑제31호증 제1면 2항), 탐지방법으로는 웹쉘로 의심되는 코드를 추적하고 존재하지 않을 경우는 eval(Request("#")나 Execute(Session("#")과 같은 악의적인 코드가 정상 asp소스에 포함되지 않았는지 확인하여야 한다(갑제31호증 제5면 5항)라고 기재되어 있습니다.
실제로 이 사건 해킹 시에 2008. 1. 3. 20:44경 생성된 웹쉘인 ‘temp.asp'의 파일의 내용은 eval(Request("#")로 나타났는데(갑제12호증의 2 제4면), 이는 인포섹의 보고서와 일치하고 있습니다.
피고 인포섹은 사정이 위와 같은데도 웹쉘을 발견하지 못한 데 대하여 그 이유를 밝혀야 할 것입니다. 이에 대해 석명을 구합니다.
(4) 원심은 ‘웹쉘에 관리자 아이디, 비밀번호를 탈취하는 기능이 있다고 하더라도 모든 웹쉘에 그러한 기능이 있다고 단정하기는 어렵다’(판결문 제28면)고 전제한 후, 웹쉘을 발견하지 못한 과실이 없다는 근거로 내세웠습니다. 원심의 논리를 이해하기도 힘들지만, 완전한 사실오인입니다.
일단 아이디, 비밀번호를 탈취하는 기능이 모든 웹쉘에 없다는 전제도 잘못되었지만, 그러한 기능이 없다면 이 사건 해킹의 원인이 되었던 웹쉘을 발견하지 못한 피고들의 과실이 없다는 것인지 원심의 논리는 전혀 상식에 맞지 않습니다.
더욱이 웹쉘은 ‘제3의 시스템을 원격제어할 수 있는 기능’이 있으며 이는 피고도 인정하고 있는 바입니다(12. 15.자 준비서면 제5면, 갑제12호증의 1 1. 8.자 인포섹보고서). 이 점에 대해서는 원심 증인 홍민표도 이러한 사실을 명백하게 인정하였으며(주신문 3의 1항), 피고 측이 을제112호증의 1을 제시하면서 아이디와 비밀번호 탈취기능은 없는 것 아니냐고 신문하여도 ‘제시한 자료에는 없지만 나열된 기능들에 의하여 충분히 아이디와 비밀번호를 탈취할 수 있다’(반대신문 제12항)고 증언하였습니다. 따라서 아이디, 비밀번호를 탈취하는 기능도 당연히 있지만, 여기에 국한한다기 보다는 더 넓게 (피고도 인정하고 있듯이) 제3의 시스템을 시스템관리자의 시스템을 원격 제어하는 기능이 있다는 것이 원고의 주장이고 이는 사실입니다. 그러나 원심은 웹쉘을 발견하지 못한데 대해 피고의 과실을 부인하는 방편으로 전혀 사실이 아닌 ‘모든 웹쉘에 관리자의 아이디, 비밀번호 탈취기능이 없다’는 것에 기한 것인데, 이러한 원심 판단은 심각한 오류가 있는 것입니다.
나. 피고는 웹쉘을 탐지하기 위한 휴리스틱(heuristic) 기능이 전문화된 전용 백신을 설치하지 않은데 과실이 없다는 판단에 대하여
원심은 ‘맥아피, 노턴, V3 등 백신 프로그램에 의해서는 탐지할 수 없는 웹쉘이고, 휴리스틱 기능이 전문화된 다른 종류의 백신 프로그램에서는 웹쉘의 탐지가 가능하였다고 하더라도 오탐지가 많기 때문에 널리 이용되지 않으므로 웹쉘을 탐지하지 못한데 대하여 과실이 없다’(판결문 제29면)고 판단하였습니다.
(1) 원심도 인정하고 있듯이 휴리스틱 기능이 전문화된 다른 종류의 백신프로그램(Kaspersky, ESET SOD32, AntiVir, BitDefender, AVG, avast)으로는 이 사건 웹쉘은 충분히 탐지가 가능 했습니다. 따라서 이미 이 사건 해킹에 사용된 ASP목마2006은 이미 2006년도부터 알려준 웹쉘이었으며, 피고 인포섹의 보고서를 보아도 피고는 충분히 웹쉘로 인한 해킹의 위험성을 인식하고 있었습니다. 그럼에도 피고는 이에 대해 아무런 대비를 하지 않았고, 자신의 바이러스 백신으로, 이미 알려지고 자신의 보고서에도 등장한 웹쉘을 탐지하지 못하였다면 이러한 대비를 하지 못한 피고의 과실은 충분히 인정될 수 있습니다.
맥아피, 시멘텍 백신과, V3는 범용 백신들로 기본적으로 웹쉘에 대한 탐지기능이 현격히 떨어지는 시그너처 기반으로서 악성 프로그램을 발견하는데 한계가 있는 것입니다. 수없이 변종이 나오는 바이러스를 매번 분석하여 백신 DB에 반영하는 방식으로는 더 이상 웹쉘 같은 것에 효과적으로 대처할 수 없기 때문에, 최근에는 휴리스틱 기능을 탑재하지 않은 바이러스 백신은 그 효과 면에서 현격히 떨어져 더 이상 시장에서 가치가 없어지고 있습니다.
(2) 피고는 자신이 사용한 백신에도 휴리스틱 기능이 탑재되어 있다고 주장합니다. 그러나 이는 원고의 주장취지를 잘못 이해했거나 의도적으로 곡해하고 있는 것입니다. 휴리스틱 탐지기능이란 이미 DB에 추가되지 않은 새로운 백신도 탐지하기 위하여 파일 안에 함수나 특징 등으로 악성코드를 귀납적으로 탐지하는 기능으로, 알려지지 않은 위협요소로부터 사전에 방어하는 것입니다(따라서 휴리스틱 기능이 있다는 것은 case by case로 탐지할 수 있는지의 문제입니다). 피고가 주장하듯이 맥아피, 시판텍 사의 백신이 휴리스틱 기능을 탑재하고 있었다는 것은, 이번에 문제된 ‘ASP목마2006’이라는 웹쉘을 탐지하기 위한 휴리스틱 기능이 없었다는 원고의 주장에 대한 맞는 답변이 아닙니다. 피고가 자신의 과실이 없다고 주장하려면, 이 사건 해킹에서 문제된 웹쉘을 탐지하지 못한데 과실이 없다는 의미로서 이러한 웹쉘을 탐지할 수 있는 휴리스틱 기능이 있었는지, 과연 위 백신들이 이러한 휴리스틱 기능을 탑재하고 있었는지, 또한 이 사건 사고당시에 이러한 기능을 사용하였는지 구체적으로 밝혀야지, 일반적으로 휴리스틱 기능 자체가 있다고 하는 것은, (휴리스틱 기능이 case by case로 문제를 해결하려는 기법이라고 볼 때) 맞는 항변이 전혀 아닙니다. (피고의 1. 11.자 참고서면에도 이에 관한 구체적인 답이 전혀 없습니다. 제4면 참조)
(3) 따라서 이미 공격방법으로 널리 알려진 ASP목마2006을 탐지하지 못한 피고의 과실은 명백합니다. 원심 판시와 같이, 인공지능을 기반으로 활동하여 오탐지가 많아 이를 사용하지 않았다는 점은 피고의 과실을 부인하는 사유가 될 수는 결코 없습니다. 원심의 논리는 경험칙에 반하여 과실을 인정하지 않은 것으로서 법리오해의 위법이 있습니다.
(또한 오탐이라는 것도 위협이 있는 코드 등에 대한 탐지인데 정상적인 것까지도 잘못 탐지할 수 있다는 것이므로 보안성으로 봤을 때는 장점으로 볼 수도 있는 것입니다. 단지 오탐 가능성으로 경고창이 뜬다는 이유로 휴리스틱 기능을 사용하지 않는 경우가 있는데 피고도 이와 같은 경우라고 할 것입니다.)
다. 피고들은 초기 단계에서 웹쉘을 발견하지도 못했을 뿐만 아니라, 웹쉘을 발견하고 한 조치들도 적절하지 않아 해킹임을 파악하지 못한 것입니다.
(1) 피고 인포섹은 이노믹스 서버에 웹쉘이 설치된 것을 1. 8.에나 발견하였고, 그로 인해 해킹이 있었음을 안 것은 (피고 주장대로 하더라도) 제보가 있고 나서 며칠이 2월 초였습니다. 웹쉘이 발견되었다는 것은 그 시스템자체가 해커에게 점령당한 것과 동일하므로 해당 웹쉘이 어떻게 서버 내에 설치되었는지 서버 내부의 로그들에 웹쉘 파일명을 가지고 조사하면 오래 걸리지 않는 시간에 파악할 수 있습니다. 피고 회사와 같이 대규모의 네트워크라고 하더라도 중앙집중식으로 관리가 가능하여 한 자리에 앉아서 서버 관리를 할 수 있으므로 피고의 주장과 같이 해킹의 파악에 시간이 오래 걸리는 것이 전혀 아닙니다.
따라서 웹쉘을 초기 단계에서 파악하지 못하였을 뿐만 아니라, 이로 인하여 해킹을 파악하지 못하여 결과적으로 4일에 걸쳐 이루어진 해킹을 전부 막지 못했던 것입니다. 이러한 피고 측에 과실이 없다는 원심 판단은 너무나 이상합니다.
(2) 피고들의 웹쉘 미탐지의 과실도 크지만, 웹쉘을 탐지하고 나서의 조치도 엉성하기 그지없었습니다.
① 피고 옥션은 악성코드가 발견되었는데도 이를 삭제만 하고, 악성코드를 분석하여 침입경로, 다른 악성코드가 생성되었는지, 위 악성코드가 구체적으로 어떠한 역할을 하였는지에 관해 피고 인포섹에 문의를 하지 않았습니다. 피고 인포섹도 구석명 사항에 대한 답변에서 ‘피고 옥션의 담당자로부터 악성코드를 삭제하였다는 이야기를 들었고, 위 파일이 삭제된 이후에는 그 파일명만으로는 파일의 내용이 무엇인지 확인할 수 없으며, 파일이 삭제되었으므로 그 파일로 인한 추가적인 피해가 발생하지 않았다는 답변을 하였다’(구석명사항에 대한 답변 5의 가항)는 실로 황당한 답변을 한 것입니다.
이러한 해킹방지대책에는 단순히 악성코드의 존재를 파악할 뿐만 아니라, ‘악성코드의 내용을 파악’하여야 하는데(갑제27호증 제51면 참조) 피고는 이러한 절차를 전혀 거치지 않은 것입니다. 실제로 2009. 7. 7. DDos 공격 시에도 공격 당일 악성코드 실행파일을 입수, 이를 보안업체에 전달해 백신을 만들도록 한 예가 있습니다(갑제27호증 제47면).
이는 피고가 거시하고 있는 침해사고 대응절차의 4단계 중 ‘데이터의 수집 및 분석’을 전혀 하지 않은 것입니다. 만약 이 단계에서 위 악성 코드의 침입경로나 기능 등을 충분히 파악했다면 이 사건 해킹은 충분히 방어가 가능했습니다.
② 악성코드가 발견된 이노믹스 서버에 대한 백신 점검을 하였다고 하나(12. 15.자 제4면), 이에 대한 구체적인 입증자료가 전혀 없습니다. 이에 대한 증거를 제출하도록 석명을 구합니다.
③ 피고는 데이터베이스 점검(12. 15.자 준비서면 4면), 전체 서버를 대상으로 한 백신 스캔 검사와 결과 분석 시행(5면), DB 초기 점검(6면), 데이터베이스에 대한 비인가 접근 여부를 확인하여 위하여 DB 접근 모니터링 툴을 통한 DB 접속기록 확인(7면) 등을 하였다고 주장하나 이에 관한 어떠한 입증자료도 제출하지 못하고 있습니다. 관련 자료를 보더라도 DB 서버 점검에 관한 구체적인 기록이 전혀 없습니다. DB 서버 점검을 하였다는 구체적인 자료를 제출하도록 석명을 구합니다.8)
④ 피고 측은 12. 15.자 준비서면에서 취약점을 점검 하였다고 할 뿐(12. 15.자 7면, 그러나 을제108호증은 취약점 점검에 관한 자료가 아님), 취약점이 어느 곳이었는지는 밝히지 못하고 있습니다. 취약점을 찾아내 보안하는 조치(갑제13호증 4면)를 전혀 취하지 않고 이를 단순히 삭제만 하였기 때문입니다. 1. 8.자 보고서에는 웹쉘을 발견하고도 이를 삭제하라고만 지시하고 있으며, 1. 10.자 보고서에서는 접근을 금지하는 조치를 취하였을 뿐, 취약점 분석은 전혀 하지 않고 있습니다.
피고는 취약점 분석 역시 포함되어 있다는 성의 없는 허위 주장을 하고 있는바(12. 29.자 준비서면 제27면) 발견한 취약점이 무엇이었고, 어떠한 조치를 하였는지 밝히도록 석명을 구합니다.
5. 이 사건 해킹을 방어하지 못한데 대한 피고들의 과실 여부
원심은 ① ARP Spoofing 기법은 탐지와 대응이 쉽지 않은 공격인 점, ② 탐지가 어려운 은폐형 웹쉘은 일반적으로 시스템 조작 능력이 뛰어난 해커에게 선호되는 점, ③ 해커가 6개월 동안 치밀하게 사전 준비를 하였고, 옥션은 수백 대의 웹서버와 수십 대의 데이터베이스 서버를 운용하는 등 복잡한 시스템을 보유하고 있었으며, 칩입 흔적이 남지 않도록 자신의 IP주소를 세탁하는 등 지능적 수법을 사용한 점에 비추어 보면 상당한 수준의 해킹기술을 보유하고 있는 점 등에 비추어 피고 옥션이 이 사건 해킹 사고를 근본적으로 방지하기는 쉽지 않았다고 판단하였습니다.
그러나 원심도 해커가 사용한 기법을 방어할 수 있는 방법이 있다는 점을 충분히 알고 있고 인정하고 있으면서도 ‘근본적으로 방지하기 어렵다’는 이유로 과실을 부인한 판단은 이해하기 힘듭니다. 또한 가사 원심 판단과 같이 이 사건 해킹이 고난도의 것이라 하더라도, 당시의 기술수준으로는 도저히 막을 수 없는 불가항력적이라는 것이 입증이 되지 않는 한 피고의 과실은 부인할 수 없음에도 원심은 경솔하게 피고가 과실이 없다고 한 것입니다.
가. ARP Spoofing 기법의 해킹에 대한 피고 옥션의 조치가 정당하였는지 여부
원심은 ARP Spoofing 기법을 방어하기 위해서는 ARP테이블 설정을 다이나믹 모드에서 스태틱 모드로 변경하면 된다는 사실을 인정하였으나, 서로 연동하는 수백 대의 서버를 운용하고 있는 피고 옥션으로서는 ARP Spoofing 공격을 인지한 즉시 모든 서버의 ARP테이블 설정을 다이나믹 모드에서 스태틱 모드로 변경하는 것은 어려웠으므로 피고 옥션이 그러한 변경 조치를 취하지 않은 것에 어떠한 과실이 있다고 보기 어렵다고 판단하였습니다. 원심이 피고의 과실이 없다는 미리 내려진 결론에 이르기 위하여 원고의 주장에 의도적으로 눈을 감았다고 의심이 들만큼 잘못된 결론입니다.
(1) 피고 옥션은 이희조 교수의 의견을 근거로, ARP Spoofing 기법은 프로토콜 체계가 근본적으로 변하지 않는 이상, 방어가 현실적으로 어려운 공격으로 평가된다(을제124호증 제4면)고 주장하였으나, 이러한 주장은 사실이 아닌 것은 원심이 인정한 바와 같습니다.
(2) 그러나 원심은 ① 스태틱(Static) 모드는 다이나믹(Dynamic) 모드에 비하여 유연하지 못하여 ② 시스템의 수가 적고 변화가 크지 않은 소규모 기업에 적당한 대응기술이어서 ARP Spoofing 공격을 인지한 즉시 모든 서버의 ARP테이블 설정을 다이나믹 모드에서 스터틱 모드로 변경하는 것은 어려웠으므로 옥션의 과실이 없다고 판단하였습니다.
원심이 인정한 바와 같이, ARP 테이블 선택을 Dynamic이 아닌 Static하면 ARP Spoofing 공격은 충분히 방어가 가능하며(증인 홍민표 신문사항 10의 가항), 현재의 보안장비는 이러한 방어기능을 기본적으로 제공하고 있습니다(신문사항 10의 나항). Static으로 테이블을 설정하게 될 경우 당연히 Dynamic 모드에 비해 유연하지 못한 단점이 있을 수밖에 없으나, 수동으로 변경을 하는 것은 보안의 기본입니다. 서버 등이 교체가 되면 다시 설정하는 것이 어려워, 보안에 취약한 Dynamic 모드를 계속 유지하였다고 하고, 그 결과 ARP Spoofing 공격을 막지 못하였다면 이에 대해 피고의 과실을 부인할 수는 결코 없습니다. 피고와 같이 편하려고 생각하면 보안은 취약할 수밖에 없는 것입니다. 절대로 불가능한 것도 아닌데, 충분히 할 수 있고 행해지고 있는 것을 단순히 귀찮고 복잡해서 안 한 것일 뿐입니다.
원심은 뚜렷한 근거 없이, 소규모 기업에 적당한 대응기술로서 대규모 네트워크 환경에는 적용하기 어렵다는 피고의 주장을 그대로 취신 하였으나, 이 또한 사실이 아닙니다. 네트워크 장비에는 한 컴퓨터에서 원격 콘솔모드로 접속하여 몇 가지의 설정 변경을 하는 것이지, 피고가 주장하는 것처럼 엄청난 작업이 아닙니다. 단지 수동으로 설정을 하여 두고 Static으로 테이블을 설정한다면 작업자가 불편하고 고생을 할 뿐이지 적용되기 불가능한 것은 전혀 아닙니다. 가장 많은 회원을 확보하고 있는 전자상거래 업체인 피고 옥션이 당연히 전문 인력을 배치하여 네트워크 설정에 신경을 써야 함에도, 단순히 업무편의 때문에 이러한 것을 무시하였다는 것은 보안의 기본을 무시한 것으로서 이는 과실이 있다고 자인하는 것임에 다름 아닙니다.
(3) ARP 테이블의 경우 서버에서 직접 설정하는 것이 아닌, 최상위 단의 라우터에 대한 설정이므로, ARP 테이블 설정을 바꾸기 위해서는 라우터에 대한 액세스만 하면 되는 것이어서 서버가 수백 대인지 수천 대인지는 전혀 문제가 되지 않습니다.
피고도 반대신문과정에서 테이블 설정을 바꾸기 위해서는 서버에 대한 액세스가 필요하지 않고 라우터의 설정을 바꾸는 것으로 족하다는 사실을 전제로 하여 신문했습니다(반대신문사항 40-2항9)). 피고는 대규모 전자상거래 업체의 경우 테이블 설정을 변경하는 것을 힘든 것인 양 주장하고 있으나, 피고 옥션과 같은 기업들의 경우 효율성을 위하여 중앙관리방식으로 관리되고 있으며, 라우터 하단에 많은 서버들이 존재하는 식으로 구조가 설정이 되어 있어 라우터의 설정만 바꾸면 가능하므로, 이는 피고의 고의적인 사실 왜곡입니다. (피고의 서버 운영방식 및 라우터 설정을 바꾸는 것으로 테이블 설정을 바꿀 수 있는지에 관해 구체적인 답변을 하기 바랍니다)
나. 포트 리다이렉션 공격이 고난도의 해킹기법이란 주장에 대하여
피고는 포트 리다이렉션 공격도 고난도의 해킹기법인 양 주장하고 있으나, 증인 홍민표는 이는 포트스캔을 통하여 충분히 쉽게 탐지할 수 있고(홍민표 증인신문사항 제11의 2항), 절대 고난도의 기법이 아니라는 점(11의 1항)에 대해 명백하게 증언한 바 있습니다.
피고는 유독 이 부분에 대해 반대신문조차 하지 못했습니다. 이희조의 진술서가 뻔한 사실을 고의적으로 왜곡하고 있기 때문입니다.
다. 이 사건 해킹에 사용된 웹쉘이 탐지가 불가능한 것으로서 고난도의 해킹이라고 볼 수 있는지 여부
(1) 피고는 웹쉘은 시스템 조작 능력이 뛰어난 해커들에게서 선호되는 경향이 있다는 극히 사실과 다른 주장을 하였으나(을제124호증 5면), 이 역시 사실이 아닙니다. 웹쉘은 쉽게 공격하기 위한 초보적이고 기초적인 방법입니다(증인 신문사항 13의 1항). 피고가 ‘해커의 수준여하를 떠나’ 사용빈도가 높은 것은 사실(반대신문 45항)이냐고 신문한 것에서 알 수 있듯이, 이희조 교수의 의견서가 심하게 편향되어 있다는 사실을 스스로 인정하고 있습니다.
한편 피고는 웹쉘은 고급 해커들‘도’ 사용한다는 사실을 증인이 인정하였다고 하고 있으나(12. 31.자 참고서면 제17면), 증인의 증언 취지는 고급해커도 사용할 수 있으나, 주로 초보자들이 사용하는 것이라는 점10)이었다는 것은 피고의 주장 취지로 보아서도 분명합니다.
그럼에도 원심은 ‘웹쉘은 시스템 조작능력이 뛰어난 해커에서 선호된다’라는 사실을 인정하였는바, 이는 피고가 신문과정에서 스스로 자백한 사실도 고려하지 않은 심하게 편향된 사실인정입니다. 시스템 조작능력이 뛰어난 해커들이 선호하는 공격기법은 서버를 구동시키는 서비스 데몬11)을 직접 공격하는 방식입니다(13의 2항).
웹쉘업로드 해킹 수업은 ‘인터넷에서 손쉽게 취득할 수 있는 비교적 손쉬운 해킹기법’(갑제32호증 정보보호21c 2010년 5월호 기사)이라는 것은 여러 문헌에 적시된 바이며, 이에 따라 고도의 기술이 없는 해커까지도, ‘업로드 취약점을 이용해 홈페이지에 올린 웹쉘’을 ‘일반 검색엔진(구글 등)으로 검색하여 실행시킨다면 사이트를 직접 해킹한 해커들과 동일하게 서버의 관리자 권한을 취득’(갑33호증 정보보호21c 2010년 3월호 기사)할 수 있기 까지 한 것입니다. 이렇게 검색엔진의 검색만으로도 쉽게 이용할 수 있는 공격방법이기 때문에 웹서버를 해킹할 때, 해커에 의한 시스템 명령을 수행할 수 있도록 하기 위하여 웹쉘을 설치하려고하는 공통점까지 있는 것입니다(갑제34호증 정보보호21c 2010년 4월호 기사).
(2) 피고 역시 자료 중 ‘탐지가 어렵다’라는 문구에만 집착하여 피고의 웹서버에 설치되어 있던 웹쉘이 탐지가 불가능한 것인 양 주장하고 있으나, 이 사건 해킹의 원인이 되었던 웹쉘은 특정 문자열을 탐지하여 찾아 낼 수 있었습니다(갑제21호증 2007. 2. KISA 웹쉘의 현황 및 분석 제10면 참조). 더욱이 피고 옥션의 보안을 담당하던 피고 인포섹이 악성코드 분석보고서(갑제33호증)를 통해 이 사건 해킹에 사용된 웹쉘인 ASP목마2006의 구성, 탐지방법 및 조치사항 등을 사전에 모두 파악하고 있었다는 점은 이미 밝힌 바와 같습니다. 도대체 피고들이 이미 알고 있어 보고서까지 작성하였던 웹쉘을 탐지하지 못한 데 대하여 고도의 기법 운운하는 피고의 주장이 얼마나 자기기만적 인지 알 수 있습니다.
(3) 피고는 KISA에서 2008. 10.경에야 휘슬을 개발하여 배포하기 시작하였으며, 휘슬에 관한 FAQ에서 조차도 웹쉘 탐지의 어려움을 말하고 있다고 주장하나, 이 또한 아주 개념 없는 주장으로 재판부를 현혹시키려 하고 있는 것입니다. 휘슬은 증인 홍민표가 대표로 있었던 와우해커의 한 회원이 만든 것으로 무료로 공개하여 웹쉘의 피해를 줄이기 위한 범용툴이지, 마치 위 휘슬의 배포시기나 무료 프로그램이 다 막아 줄 수 없다고 설명한 것으로 대기업인 피고 회사가 면책되는 것은 아닐 뿐만 아니라, 그러한 툴을 언급하는 것 자체가 상식적으로 말이 안 되는 것입니다.
라. 윈도우의 운영체제의 내장 명령어를 사용하였던 정황과 패스워드를 크래킹한 사실 관련
(1) 피고는 수사보고에 나타난 명령어만 볼 때 주로 전문적인 서버 관리에 사용되는 명령어들이 악용되었으므로, 해커의 서버에 대한 지식이나 기술수준이 상당하였다(을제124호증 제5면)고 하나, 이는 일반적인 검색엔진에서 ‘서버명령어’만 입력하면 다 나오는 명령어입니다(증인 신문사항 제14의 2항). 도대체 어떤 명령어가 그렇게 전문적인지 구체적으로 밝히기 바랍니다. 그러면 원고는 그러한 명령어를 전부 인터넷에서 검색한 자료를 제출하도록 하겠습니다.
(2) 피고는 패스워드 크래킹은 레벨 4~5 수준에 해당하는 해킹이라고 주장했으나, 패스워드 크랙킹은 사람이 하는 것이 아니라 해킹 툴이 하는 것이며(증인 신문사항 15의 2항), 다중레인보우테이블을 이용하면 7~8자리로 암호화된 것은 크랙이 쉽게 되므로 높은 수준의 해킹이 아닙니다(15의 3항). 피고는 자신의 주장이 사실이 아니라고 생각하였는지, ‘적어도 해킹을 당하는 입장에서는 방어가 어려운 것 아니냐’(반대신문 51항)라고 하여 논점을 달리하여 물어보아 적어도 고난도의 해킹이 아니라는 사실은 간접적으로 인정한 것입니다.
또한 패스워드 크래킹을 막기 위해서는 위와 같은 해킹 툴로 크랙킹이 되지 않도록 8자리 이상으로 특수문자, 숫자, 영어의 조합으로 이루어져야 함12)에도, 톰캣서버는 초기 설정 그대로 하였고, 이노믹스 서버, 디비 서버의 비밀번호는 피고 회사의 회사명이 들어간 것으로서 피고 회사의 관리지침에 반한 것이 명백할 뿐만 아니라, 해킹을 방어하는데 충분하지 않은 조치로 피고 옥션의 과실임이 명백하다 하겠습니다.
마. 정보수집에 사용된 기법의 수준을 평가하는 것은 불가능하다는 주장과 관련하여
(1) 피고 측의 이희조 교수는 ‘정보 수집 및 분석에 관한 상당한 정보가 기록상 생략되어 있을 가능성이 매우 높아 현재 검토가 가능한 소송기록에 나타난 제한적인 정보만으로 정보수집에 사용된 기법의 수준을 평가하는 것은 큰 의미가 없다’(을제124호증 제6면)고 합니다.
그러나 정보수집 및 분석에 대한 정보가 생략되었다는 주장은 전혀 사실이 아닙니다. 해커가 정보를 어떻게 수집하였는지는 피고 옥션이 제출한 갑제25호증에 의해 분명하게 나타나 있습니다. 이 자료에 의할 경우, 단 6개의 쿼리로 1,100만 건의 정보를 DB서버에게 직접 가져오는 것이 명백하게 나와 있습니다. (그리고 1심 판결 이후에 밝혀진 사실에 의하면 회원 전부의 정보가 유출된 것으로 드러났습니다) 이렇게 작은 숫자의 쿼리로, 고객상담원이 접속하지 않는 새벽시간대에 이노믹스 서버로부터 DB 서버로 단 6개의 쿼리로 1,000만 건이 넘는 정보를 조회해간다면 이는 해커가 발각되기로 마음먹었거나, 아주 초보적인 수준이란 것을 적나라하게 보여주는 것입니다(증인 신문사항 제19항, 원고 1. 7.자 참고서면 제9면 참조). 사정이 이러하기 때문에, 희한한 논리로 해킹이 고도의 수법이라고 주장했던 이희조 교수는 이 부분에서는 언급을 회피한 것입니다. 어떤 논리로도 이러한 해커의 행위가 고난도의 기법을 사용하는 고도의 해킹이라고는 도저히 설명할 수 없었기 때문입니다.
특이하게도 원심은 이 부분에 관해 판단이 없습니다. 피고의 과실을 부인하기 위해 피고의 주장이 명백히 잘못되고 피고의 과실이 확실한 부분을 의도적으로 피한 것이라고 믿고 싶지는 않습니다.
더욱이 위 교수의 의견서에 의하면, ‘일부 쿼리에서 상위 20,000개만 캡처하여 모니터링 시스템의 관제범위를 교묘히 피하면서 데이터베이스 시스템에 부하를 주지 않도록 한 것이 확인된다’(을제124호증 제9면)하였는데 이는 전혀 사실도 아닐 뿐만 아니라, 정보수집에 관한 자료가 없다는 자신의 앞서 진술과도 모순된다 하겠습니다. 위 의견서에 관한 관련 자료를 제출하도록 석명을 구합니다.
(2) 피고 측이 거시하는 비인가자 접근탐지, 비인가 호스트 접근 탐지(12. 31.자 참고서면 제13면)는 이 사건과 같이 관리자 계정을 탈취하여, 이노믹스 서버로부터 접근을 한 것이므로 본 사안과는 관련이 없습니다. 또한 SMS나 이메일로 통지하는 시스템 역시 구체적인 증거자료가 없을 뿐만 아니라, 해킹 발생당시 알림기능이 활성화 되었는지에 관해서도 구체적인 주장, 입증이 전혀 없습니다. 이에 관한 입증자료를 제출하도록 석명을 구합니다.
(3) 피고는 ‘이상징후 탐지’와 ‘오용징후 탐지’로 헷갈리는 주장을 하고 있으나, 이러한 용어는 일반적이지도 않고, 피고가 말하는 오용징후 탐지에 의한다면 결국 알려진 공격패턴만 탐지하겠다는 것에 다름 아닙니다.
피고는 지금까지 ‘이상징후라고 볼 수 없다’라고 답변하였고, 이에 대해 원고가 논박하자 갑자기 일반적이지 않은 용어(오용징후 탐지)를 들고 나와 이상징후를 탐지하지 못한 데 과실이 없다고 주장하는 것입니다. 그러나 1개의 쿼리에 800만 건의 결과값이 있었다는 것은 이전에는 결코 없었고 있을 수도 없는 이상징후로서 이는 보안 솔루션이 당연히 파악해야 하는 것입니다.
6. 웹방화벽
원심은 ① 웹방화벽이 유해 트랙픽을 차단하기 위해서는 필수적으로 과도한 트래픽이 발생하여 이 사건 해킹 사고 당이 기술적 문제로 인하여 웹방화벽을 도입하는 것이 현실적으로 어려웠던 것으로 보이고, ② 웹방화벽은 시스템의 특성 등을 고려하여 도입 여부가 결정되는 선택적인 보안조치의 하나에 불과하고, 관련 법령상으로도 웹방화벽의 설치가 의무화 되어 있지 않은 점, ③ 이 사건 해킹 사고가 피고 옥션의 웹방화벽을 설치하지 않아 발생하였다고 단정할 수 없을 뿐만 아니라, 웹방화벽의 설치가 바로 웹 서버에 대한 모든 해킹의 방지로 귀결되는 것도 아니며, ④ 피고 옥션은 이 사건 해킹 사고 당시 웹방화벽을 대신할 수 있는 다수의 보안조치를 취하고 있는 점 등을 종합하여 웹방화벽을 설치하지 않은데 대하여 과실이 없다고 판단하였습니다.
이 부분 판단에서도 원심 법원은 계속하여 범하는 (치명적이고 다소 황당하기까지 한) 오류를 범하고 있습니다. 즉 위 ③ 부분 판단은 참으로 이해할 수 없는 원심 판단의 오류입니다. 이 사건 해킹 사고는 피고 옥션의 허술한 보안조치의 틈새를 노리고 한 것입니다. 웹방화벽을 설치하지 않고 무방비로 웹서버로 열어 놓아 해커는 이를 노리고 침입한 것이 객관적 사실로 드러난 상황에서도 ‘웹방화벽을 설치하지 않아 발생하였다고 단정할 수 없’고, ‘웹방화벽의 설치가 바로 웹 서버에 대한 모든 해킹의 방지로 귀결되는 것도 아니’기 때문에 과실이 없다고 판단한 것입니다. 만약 원심과 같은 논리라면, 피고 옥션의 여러 취약점을 노려 해킹이 성공한 이 사건과 같은 경우에도 바로 이 취약점으로 인하여 해킹이 발생하였다고 할 수 없고, 이러한 취약점을 제거하였더라도 해킹이 발생하지 않았다고 단정할 수 없어 과실이 인정되지 않는다는 결론을 내릴 수 있다는 것입니다. 피고 옥션의 여러 취약점을 공격하여 해킹에 성공하였고, 웹방화벽이 없어 웹서버에 대한 공격을 전혀 방어하지 못하였는데도, 웹방화벽이 설치되었더라도 ‘모든’ 해킹의 방지로 귀결되지 않았다는 논리로 무과실을 선언한 것입니다.
원심 논리대로라면, 보안조치를 취하지 않았다고 하더라도 보안조치의 흠결로 인하여 바로 해킹이 발생하였다는 직접적인 연결 관계가 명확하게 입증하지는 못하고, 보안조치가 있었더라도 모든 해킹에 완벽하게 대처되지 않았다면, 과실이 없다는 것인데, 이러한 논리가 부당함은 다언을 요하지 않습니다. 예를 들어 보겠습니다. 어떤 은행에 야간에 몰래 침입하여 현금이 털린 사건이 일어났고, 은행에서는 강력한 방화문을, 은행 직원들의 업무상 출입에 시간이 많이 걸린다는 이유로 전혀 설치하지 않고, 비밀번호만 설정했는데 비밀번호도 은행명이 그대로 들어간 단순한 것이었습니다. 그리고 최고의 귀중품이 있는 고객들의 대여금고에는 은행직원들만 들어갈 수 있는 시스템, 예컨대 홍채인식 시스템을 전혀 도입하지 않았다고 가정해 보겠습니다. 그런데 은행 절도범은 강력한 방화문을 도입하지 않았음을 노려 침입을 하여, 홍채인식 시스템이 없는 취약점을 이용하여 비밀번호를 알아내어 금고에 접근한 후, 금고에 있는 엄청난 돈과 귀중품을 절취해 갔습니다. 그런데 원심의 논리 그대로라면, ‘방화문을 설치하지 않았고 홍채인식 시스템으로 접근을 철저히 막지 않았다고 하더라도, 방화문 등을 설치하지 않아서 절취를 당했다고 볼 수 없고, 방화문 등을 설치하였다고 모든 은행털이를 막을 수 있는 것은 아니므로’ 은행의 과실이 없다고 하는 것과 동일하다 하겠습니다.
원심 법원의 이러한 판단 부분은 (다른 부분에서 기술적 몰이해에 근거한 잘못된 판단을 내린 것은 차치하더라도) 피고 옥션이 과실이 없다는 결론을 미리 내려놓고 판단을 하였다고 의심이 들 정도입니다. 이는 논리칙에 명백하게 위반하여 잘못된 판단을 한 것입니다. 만약 원심 법원의 논리와 같이 바로 그 보안조치의 흠결 때문에 해킹을 당한 것이 아니고, 그 보안조치가 있었더라도 모든 해킹을 막을 수 없다는 논리로 판단한다면, 어떠한 해킹을 당해도 피고에게 과실을 인정하기는 쉽지 않을 것입니다. 원심의 이러한 판단은 지나칠 정도로 비논리적, 비법리적이기 때문에 반박하기도 다소 황당하고 힘들지만, 원심이 이러한 황당하기까지 한 논리에 지나치게 의지하고 있어 길게 반박하여 보았습니다. 이제 원심의 다른 근거가 잘못되었는지 밝히도록 하겠습니다.
가. 과도한 트래픽이 발생하여 기술적 문제로 인하여 웹방화벽을 도입하는 것이 현실적으로 어려웠던 것으로 보여 과실이 없다는 판단에 대하여
(1) 원심은 위와 같은 이상한 논리에 바탕한 후에, 웹방화벽은 트래픽을 일일이 조사해야 하는 등 웹서버에 과도한 트래픽이 발생하여, 인터넷 사이트를 운영하는데 대용량 트래픽이 발생하는 전자상서래 업체인 피고 옥션으로서는 이 사건 해킹 사고 당시 기술적 문제로 인하여 웹방화벽을 도입하는 것이 현실적으로 어려워 과실이 없다고 판단하고 있습니다.
참으로 이상합니다. 웹방화벽이 설치되어야 보안이 될 수 있다는 증거자료에 의한 원고의 주장에는 별다른 판단을 하지 않고 인색하던 원심 법원은, 웹방화벽의 유일한 단점, 그나마 충분히 해결 가능한 단점을 근거로 웹방화벽을 도입하는 것이 현실적으로 어려웠다고 하면서, (웹상의 취약점을 노렸고, 웹방화벽이 설치되었다면 충분히 차단이 가능했던) 이 사건 해킹을 막지 못한데 과실이 없다고 판단한 것입니다.
원심은 피고가 네트워크 기반의 웹방화벽의 경우 과도한 트래픽이 발생한다는 주장13)을 취신한 것으로 보입니다. 피고는 마치 네트워크 기반인 경우 한 대의 웹방화벽으로 모든 웹서버를 커버하여야 하는 것으로 주장하였고, 원심 법원도 이를 그대로 믿어버린 것으로 보이나 전혀 그렇지 않습니다. 오히려 이노믹스 서버와 같이 로그인할 수 있는 자가 한정되고 매우 한정된 서비스를 제공하는 경우라서 트래픽이 많이 발생하지 않는 반면, 메인디비서버와 연동되어 고객정보를 전송받을 수 있어 보안의 필요성이 큰 서버는 그리 많지 않을 것이므로, 피고의 주장과 같이 모든 웹서버에 대한 웹방화벽 1대를 설치하여 과도한 트래픽이 발생하는 것이 아니라, 이노믹스 서버 등 데이터베이스와 연동되는 서버들만 커버할 수 있는 웹방화벽을 설치한다면 피고가 주장하는 과도한 트래픽이 발생하지 않습니다. 원심 판결문에서 '일부 웹서버에 웹방화벽을 도입해 운영하고 있다‘(제16면 (5) 부분)는 표현이 있는 것을 보아도 DB서버와 직접 연동되는 이노믹스 서버 등에만 한정적으로 웹서버를 설치, 운영할 수 있는 것입니다.
보안조치가 엄격할수록 시스템의 속도는 저하되고 관리자가 신경 쓸 부분은 훨씬 커지는 것은 당연한 상식입니다. 피고의 주장이나 이를 그대로 받아 쓴 원심 법원의 판단의 논리에 따른다면, 과도한 트래픽 때문에 웹방화벽을 도입하는 것이 현실적으로 어렵다면, 어떠한 보안조치도 도입하지 않아야 한다는 결론에 이르는 것입니다. 이러한 결론은 부당함은 명백합니다. 뿐만 아니라, 과도한 트래픽은 위와 같이 해결할 방법이 분명히 있는데도(피고는 이에 관해 전혀 반박하지 못하고 있음), 단지 속도 저하 때문에 (웹애플리케이션에 대한 유일한 방어책인) 웹방화벽을 도입조차 하지 않은 것에 과실을 인정하지 않은 원심 판단은 잘못된 것임이 분명합니다.
(2) 원심의 이러한 극도의 편향적인 판단은 증거취사에서도 드러나고 있습니다. 원심은 웹방화벽이 웹어플리케이션에 대한 유일한 보안조치라는 명백한 증거(갑제4호증, 갑제7호증, 증인 홍민표의 증언)는 철저히 무시하고, 웹방화벽에 관한 증거가 아닌 을제84, 85호증까지 거시하면서(더욱이 피고가 위 증거를 웹방화벽과 관련하여 거시한 것도 아닙니다. 10. 6.자 제11면) 편향된 판단을 한 것입니다.
특히 피고 옥션에 편향된 입장에서 서술한 고려대 이희조 교수의 주관적인 의견서(을제94호증)에만 전적으로 의존해 이와 같은 판단을 한 것입니다. 웹해킹을 막는데 웹방화벽이 없는 상태라면 거의 무방비이며, 이희조 교수가 말하듯이 몇몇 한계(물론 이마저도 지독하게 과장되고 편향되어 있지만)만으로 웹방화벽을 도입하지 못할 이유가 되는 것은 아닙니다. (이 사건 소송 외에 후속 소송을 제기할 예정인바, 추후 소송에서는 이희조 교수도 피고로 하여 이러한 학자적 양심을 저버린 고의적인 사실왜곡에 대해 책임을 물을 예정임을 강력히 경고하는 바입니다.)
나. 원심은 기존의 네트워크 레벨 기반의 보안시스템의 한계를 극복하기 위하여 등장한 웹방화벽의 보안조치로서의 기능은 철저히 무시하였습니다.
(1) 침입탐지시스템(IDS), 침입방지시스템(IPS)은 네트워크 단계에서의 보안시스템으로서, 네트워크 레벨에서 포트를 차단하고 패킷에 대한 필터링을 통해 해킹을 차단하는 방식입니다. 위 시스템은 웹의 특성상 방화벽을 설치하더라도 웹 서비스 포트는 항상 개방하여야 하기 때문에 웹 서비스 포트를 통한 공격에 대해서는 무방비 상태로 노출되는 것이 그 한계입니다. 따라서 네트워크 레벨 기반의 보안시스템에서 애플리케이션 레벨의 방어를 하는 데는 당연히 한계를 가질 수밖에 없어(갑제7호증 제67면), 웹방화벽이 등장하게 된 것입니다. 웹방화벽은 기존의 네트워크 보안시스템으로는, 암호화된 트래픽의 처리 및 검사, 웹애플리케이션 코드 자체의 취약점을 보호하는데 한계가 있고14)(갑제7호증 제65면), 웹서비스를 위해 오픈해 놓은 80, 443 포트에 대한 필터링이나, 애플리케이션 단에 대한 필터링이 한계가 있기 때문에(갑제7호증 제65, 83면) 도입된 것입니다.
바로 이러한 점 때문에 웹서버에 대한 해킹을 막기 위해서는 실질적으로 웹방화벽 외에 제대로 된 보안조치가 있을 수 없는 것입니다. 그래서 소비자분쟁조정위원회도 ‘피고 옥션이 외부용역업체인 피고 인포섹으로 하여금 계약을 체결한 보안업무도 네트워크 분야에 국한시키는 등 최소한의 범위에 그치고 있으며, 개인정보를 위하여 필수적인 웹방화벽의 설치 등 웹서버 보안 분야는 그 대상에서 제외시킨 결과, 간단한 수법의 외부 해킹으로 언제든지 데이터베이스의 개인정보가 유출될 수밖에 없는 등 사실상 완전히 노출되어 있는 것과 다를 바가 없다‘(갑제4호증)고 밝힌 것입니다.
(2) ‘웹방화벽이 웹 관련 해킹을 사전에 예방하기 위한 보안 제품 중 하나인 사실이 인정되기는 한다’면서 애써 웹방화벽의 기능적인 효과에 대해서는 눈감은 원심 법원은 갑제4호증은 배척하는 증거로도 거시하지 않았습니다(국가기관의 공신력 있는 결정을 뒤집기에는 부담을 느꼈을 것으로 추측됩니다).
기업을 대상으로 한 해킹사건의 90% 이상은 웹서버를 통해서 이루어지는데, 이는 웹서버를 통해야만 뒤에 있는 DB 서버까지도 공격이 가능하기 때문입니다(갑제34호증 제70면, 길기현 반대신문 제13항). 웹방화벽은 방대한 웹애플리케이션을 단일화 된 보안정책으로 관리할 수 있어, 시간, 비용, 관리적인 부분에 있어 웹서버 보안에서 유일하게 효율적인 솔루션이고(갑제35호증 정보보호21c 2010년 4월호 기사), IPS(침입차단시스템)에서와 같은 오탐도 발생하지 않는 것입니다(갑제35호증).
따라서 웹방화벽은 웹 관련 해킹을 사전에 예방하기 위한 ‘보안제품 중 하나’인 것이 아니라 유일한 대안인 것입니다. 해킹당시나 현재에도 웹서버 보안을 위해 웹방화벽 외에 다른 조치는 없으며, 원심이 거시하는 조치는 웹서버 보안과 전혀 관련이 없거나 부수적인 조치일 뿐입니다. 웹방화벽이 없다는 것은 웹서버 단계에서의 보안은 포기하고(해커에게 벌써 한 수 접고) 들어간다는 의미이며, 이 사건 사고도 웹방화벽이 없어 해커가 안심하고, 웹서비스의 취약점을 노리고 공격한 것입니다. 웹방화벽 없이 서비스를 한다는 것은 보안에 극도로 취약하여(갑제36호증 정보보호21c 2010년 1월호 기사 제70면), 웹서비스를 위해서는 웹방화벽 구성이 필수이며(갑제36호증 제71면), 웹방화벽이 도입되면서 대부분의 공격이 차단되고 있는 것(갑제36호증 제72면)입니다.
(3) 원심은 ① 다른 보안제품과 마찬가지로 정책에서 미처 예상하지 못한 유해 트래픽이 오는 경우에는 이를 차단하기 어렵고, ② 웹 서버에 웹방화벽을 설치하더라도 웹 서버에 대한 해킹이 불가능한 것은 아니고, 다만 일반 방화벽만 설치되어 있는 경우보다 해킹이 어려워질 뿐이라는 점 등에 기하여 피고 옥션의 과실이 없다고 보았습니다.
원심의 논리대로라면 어떠한 보안조치도 해킹을 100% 막는데 부족하므로, 피고 옥션과 같이 아무런 보안조치를 하지 않아도, 위 2가지 논리, 즉 ‘예상하지 못한 공격의 방어의 어려움’과 ‘해킹의 100% 차단의 현실적 불가능성’으로 인하여 정보를 유출당한 기업에 책임이 없다는 것입니다. 지극히 편향적인 논리이자 이 사건을 전혀 이해 못한 것입니다.
이 사건 해킹은 웹서버의 취약점을 노려, 웹쉘을 설치하여 웹서버의 관리자 권한을 탈취한 것이었습니다. 그런데 이 사건 해킹에 사용되었던 웹쉘은 ASP2006으로서 피고 인포섹도 충분히 알고 있었던 것입니다(갑제31호증). 따라서 원심의 ① 논리는 이 사건 해킹의 성격 및 당시 웹방화벽이 설치되었더라도 방어할 수 없는 것인지 여부에 대해 치밀한 검증을 하지 않고, 과실이 없다는 결론에 맞추어 아주 추상적이고 형식적인 일반론에 기해 피고의 책임을 부인한 것입니다. 특히 피고는 정보통신망법 제32조에 따라 자신의 과실 없음, 즉 웹방화벽을 설치하였더라도 이 사건 해킹을 막지 못할 것이라는 사실(따라서 피고에게 과실이 없다는 점)에 대하여 피고에게 입증책임이 있음에도 불구하고 원심은 만연히 아주 추상적인 논리에 의해 피고의 면책을 인정하고 말았으니, 이에 법리오해의 위법이 있다고 하겠습니다.
또한 원심의 ②의 논리는 편향적이다 못해, 조악하기까지 합니다. 원심의 논리대로라면 보안장비가 해킹을 100% 막지 못한다면, 그러한 보안장비가 없어 해킹이 이루어졌다 하더라도 과실을 인정할 수 없게 됩니다. 현저하게 경험칙, 논리칙에 반한 판단입니다.
다. 다른 정보통신서비스업체가 웹방화벽을 도입하지 않고 있다는 조사결과와 관련하여
원심이 조사대상 정보통신서비스업체 중 웹방화벽을 도입하지 않고 있다는 것을 피고의 과실이 없다는 주요한 근거로 보았습니다. 을제123호증은 진정성립이 인정되지 않은 문서라 그 진실성을 확인할 길은 없으나, 이와 같이 웹방화벽을 도입하지 않았다고 하더라도 우리나라 기업의 전반적인 보안에 대한 허술함을 보여주는 것일 뿐, 피고 옥션의 면책 근거가 절대 될 수 없는 것입니다. 바로 이러한 허술함 때문에 2010년 3월에 국내 유명 백화점 및 포컬 사이트에서 2,000만 건 정보유출 사건이 또 발생한 것입니다(갑제37호증 2010. 3. 12.자 보안뉴스 기사).
을제123호증에서도 우리나라 기업의 보안 불감증, 보안에 대한 철저한 무시가 잘 드러나 있습니다. 즉 웹방화벽을 도입을 하지 않은 이유에 대해 ‘웹방화벽의 기능, 성능을 신뢰하지 않아서’, ‘관리적인 이슈가 많아서’ 등을 들고 있는 그것입니다. 실제 웹사이트를 보안을 고려한 완벽한 개발은 불가능할 뿐 아니라(웹방화벽 도입이 불가능한 것이 아닙니다), 웹의 취약점을 발견하더라도 구조적으로 수정하기 어려워 대처가 현실적으로 불가능한 경우가 많고, 수정이 가능하더라도 방대한 애플리케이션을 수정하는데 많은 시간과 비용이 소모되므로 웹방화벽이 현재로서는 유일한 대안인 것입니다(갑제35호증 제106면). 따라서 기능을 신뢰하지 않는다는 것은, 얼마나 보안에 무심한지 알 수 있는 것이고, 이러한 보안장치를 설치하면 할수록 관리이슈가 많아지는 것은 당연한 것인데도, 관리적 이슈가 많아서 설치하지 않는다는 것은, 단지 귀찮아서 안 한다는 것에 불과합니다. 귀찮은데 보안은 왜 하는지 모르겠습니다.
정보보안관련 잡지로서 객관적인 자료인 갑제7호증에 의하면, 금융기관, 공공기관, 온라인 비즈니스 기업 등에서는 대부분 웹방화벽을 도입해 운영하고 있고 또 이를 확대하고 있으며(갑제7호증 제64면), 웹방화벽은 기존의 침입탐지시스템(IDS), 침입방지시스템(IPS)이 탐지할 수 없는 웹 관련 공격들을 분석하고 필터링을 통해 차단․방어하고, 애플리케이션의 계층 분석 기술과 정규화 기술을 바탕으로 특화된 검사엔진을 탑재하여 URL에 따른 접근 제어기능과 SSL 트래픽을 자체적으로 복호화 검사하여 처리하고 있는 기능이 있어(갑제7호증 제65면) 웹서버 보안의 유일한 방법인 것입니다.
라. 원심이 거시한 웹서버에 대한 다른 보안대책과 관련하여
원심은 ‘① 화이트햇 스캐너를 통한 웹취약점 점검 및 제거(을제58호증), ② 웹서버 프로그램의 지속적인 업데이트(을제59호증), ③ 코드 작성단계에서 웹 애플리케이션의 취약점을 사전에 방지하는 필터의 작성(을제60호증), 피고 옥션의 NOC센터에서 보안관제시스템을 통한 24시간 실시간 감시(을제51호증) 등 웹방화벽을 대신할 수 있는 다수의 보안조치를 취하고 있다’고 합니다.
②는 일반 이용자의 컴퓨터의 프로그램에서 하는 당연한 업데이트를 마치 웹 보안조치인양 기술한 것으로서 피고의 왜곡된 주장에 재판부가 속아 넘어간 것입니다. ④는 피고가 웹서버에 대한 보안조치로 언급한 바도 없는 보안관제를 담당하는 곳의 ‘단순한’ 사진입니다. 이를 웹서버 보안, 특히 웹방화벽을 대체하는 수준의 보안으로 보았다는 것에서 원심 법원의 기술에 대한 이해능력을 의심할 수밖에 없습니다.
③ 부분의 판단과 관련하여서는 실제 사이트에서 보안을 고려한 완벽한 개발은 불가능하므로(갑제35호증) 웹방화벽을 대체할 수 있는 보안방법이 전혀 아닙니다. ①과 관련해서는, 웹의 취약점을 발견하여 사후에 수정하는 것은 개발자와 연락이 되지 않거나 구조적으로 수정하는 것이 불가능한 경우가 있고, 수정이 가능하다고 하더라도 방대한 애플리케이션을 수정하는데 많은 시간과 비용이 소모되므로, 방대한 웹애플리케이션을 단일화 된 보안 정책으로 관리할 수 있는 보안솔루션으로은 웹방화벽이 유일한 것입니다(갑제35호증). 그랬기 때문에 피고 측의 증인 길기현은 필터가 웹방화벽이라는 (피고도 거짓말이 아니라고 반박하지 못하고 있는) 거짓말을 한 것입니다(반대신문 제11의 3항).
(항소이유서의 양이 방대해져서, DB서버 관련 부분은 항소이유서(2)로 제출하도록 하겠습니다)
입 증 방 법
1. 갑제29호증 고객센터 상담원 문의 사이트 캡처화면
1. 갑제30호증 정보보호21c 2010년 4월호 기사
1. 갑제31호증 ‘ASP목마2006과 응용’ (피고 인포섹 작성 악성코드 분석 보고서)
1. 갑제32호증 정보보호21c 2010년 5월호 기사
1. 갑제33호증 정보보호21c 2010년 3월호 기사
1. 갑제34호증 정보보호21c 2010년 4월호 기사
1. 갑제35호증 정보보호21c 2010년 4월호 기사
1. 갑제36호증 정보보호21c 2010년 1월호 기사
1. 갑제37호증 2010. 3. 12.자 보안뉴스 기사
2010. 6. .
원고들의 소송대리인
넥스트로 법률사무소
변 호 사 박 진 식
서울고등법원 제 16 민사부 귀중
|
첫댓글 하나하나 요목조목 잘 정리하셨네요...늘 감사하고 고생 많으십니다..^^
수고가 많으세요 ^ ^
승리에 그날을 위해 끝까지 힘내세용~~
믿음이 갑니다. 힘내세요~
더운날 조심조심 수고하시고요 힘내세요
힘네세요. 꼭 이겨서 잘못을 깨닫게 해줘야죠...^^
오랜시간에 걸쳐 수고하시네요.. 근데 언제쯤 결과를볼수있는건지..ㅠ..
수고하세요^^
^^:
기간이 오래걸리는데 참 애쓰십니다 감사합니다
끝까지 희망을 걸어볼까 합니다... 이제와서 빠꾸는 더 바보가 될테니까요~^^ 계속 잘해보세요 파이팅~
더운날씨에 건강조심하시구요. 힘내세요. 희망을 걸고 기다리는 사람이 많아요. 홧팅
올만 들어와 보네여
끝까지 함 해봅시다! 죄가 있는대도 없다그러는 법원!
노고가 많으십니다! 원심의 오판에 대하여 조목 조목 지적하신 내용이 항소심에서는 꼭 승리할 확신이 생깁니다!
박변호사님과 직원님들 더운 날씨에 건강도 챙기시고, 지속적인 건투를 기원드립니다!!! -화이팅!!!-
아고 제가 독서실을 운영하는데 건물 관리소장과의 작은 마찰로 인하여 내용 증명 몇번 주고 받아보고 빚 받으려고 강제집행 해보고 했습니다 ,,,,이런 작은 일도 제에겐 넘 어렵던데![ㅠㅠ](https://t1.daumcdn.net/cafe_image/pie2/texticon/ttc/texticon29.gif)
고생 많으심니다![~](https://t1.daumcdn.net/cafe_image/pie2/texticon/ttc/texticon28.gif)
![~](https://t1.daumcdn.net/cafe_image/pie2/texticon/ttc/texticon28.gif)
![~](https://t1.daumcdn.net/cafe_image/pie2/texticon/ttc/texticon28.gif)
박변님 수고가 많습니다. 무더운 여름 홧팅입니다. 저 가증스런 옥션은 거짓으로 일관하며 소비자들과 국민들을 바보취급하고 있는 것입니다. 이제 정의가 무엇인지 보여 줘야 합니다.
반드시 승리할것입니다. 고생하세요..
고생 많으십니다. 반드시 승리할 겁니다!