2009년 10월 30일
무선랜 법안에 관한 사실과 가치 - 개인 공유기 소유자 관점에서
사실
- 현재 무선공유기(AP라는 용어를 써야하나, 무선공유기라는 용어가 좀더 대중적이기에 무선공유기라고 하겠다. 사실 둘은 조금 다른 개념이다. 무선공유기의 기능 중 하나가 AP로서의 기능이다.) 중 상당수는 보안설정 없이 아무나 접속할 수 있는 상태로 퍼져있다.
- 무선공유기 역시 하나의 자원으로 판단해야 한다. 무선공유기가 한번에 처리할 수 있는 트래픽은 정해져 있으며, 한 무선공유기에 동시접속할 수 있는 기기의 숫자도 제한되어있다.(채널 개수 한정) 따라서, 허가없이 누군가가 무선 인터넷을 이용하게 된다면, 원래 공유기 주인이 독점해야 할(자기 것이니까) 한정된 자원을 도용하는 것으로 보아야 한다. 모 블로거 분의 '우물' 비유는 이래서 조금 핀트가 어긋나있다. 우물로 비유하려면, 우물물이 한정적이어야 한다. 하지만 저 비유가 나왔을 때 우물물은 계속 재생성되는 무한한 자원 개념으로 이야기했음을 알 수 있다. 조금 더 정확한 비유를 들자면, 논에 물을 대기 위해 만든 개인 소유의 저수지를 예로 들 수 있겠다. 자신의 논에 물을 대기 위해 직접 자기 땅에 저수지를 파서 물을 보관한 사람이 있다. 그렇게 논에 물을 대고 있었는데, 어느날 자신의 논에 물이 평소보다 적게 들어오는 것을 발견하였고, 저수지에 가보니 웬 옆집 사람이 저수지 물을 맘대로 끌어쓰고 있어서 그만큼 자기 논에 물이 들어오지 않는다. 이런 상황이라고 볼 수 있다.
- 이런 경우, 옆집 사람이 끌어쓰는 물의 양이 많아서 주인에게 피해를 줄 정도인가/아닌가에 대한 사실 판단은 이루어질 수 있으나, 그것이 무단으로 끌어쓰는 것 자체가 정당하냐/아니냐의 문제로 환원될 수는 없다.
- 쓰는 양이 많을지 적을지는 쉽게 판단할 수 없다. 어디까지나 쓰는 사람의 양심에 따르는 것이다. 혹은 쓰는 사람도 트래픽을 얼마나 쓸 지 모를 수도 있다. 자신이 쓰는 트래픽 양을 정확하게 알고있는 사람은 그리 많지 않다. 트래픽을 측정하지 않는 이상, 우리는 평소에 얼마만큼의 트래픽을 사용하는지 잘 모른다. 그저 다운로드 사이트나 자료공유 사이트 등을 사용하면 트래픽이 많다 정도로 대충 알고 있을 뿐이다. 즉, 나름 양심있는 도용자(?)라고 "나는 뭐 별거 안했으니 괜찮을 거야!"라고 주장하더라도 실제 트래픽을 측정해보면 생각보다 많을 수 있다.
- 현 법으로 볼 때, 공유기 주인 입장에서 이런 도용자를 고발해서 처벌받게 할 수 있는 실질적인 법적 근거는 별로 없다. 다만 보안설정을 철저히 함으로써 도용을 방지하는 대책을 세울 수 있는 정도이다.
- 현재 나온 법안, 공유기를 보안설정을 완료한 상태로 사용할 것을 의무화하는 것이다. 즉, 보안설정이 제대로 되어있지 않은 상태로 공유기를 쓸 경우, 아무런 법적 보호를 받을 수 없다는 것이다.
- 악의적인 해커가 이 공유기 중 하나로 인터넷에 접속하여 어떤 또다른 망을 해킹할 경우, 해커를 추적하는 것은 사실상 불가능하다. 추적해봐야 공유기가 가지고 있는 IP만 찍히기 때문이다. 예를 들어보면, A라는 사람은 집에 무선공유기를 설치해놓고 쓰고 있었다. 자세한 보안설정은 할 줄 모르고, 별로 필요도 없을 것 같아 하지 않았다. 그런데 어느날 B라는 해커가 A의 무선공유기에 접속하여, 청와대 사이트를 해킹하였다. 그러면 법적 책임은 물론 해커인 B에게 있으나, 로그를 아무리 추적해도 잡히는 것은 A의 무선공유기 뿐이다. 결국 무선공유기를 관리하는 A만 곤란하게 된다. 물론 A가 해킹을 했다는 직접적인 증거는 없기 때문에 책임소재가 불분명해진다. 이럴 경우 실제 법적으로 어떻게 처벌이 되는지는 모르겠다.
- 그럼 이번 법안이 통과되면 저런 해킹에 대해 대비책이 될 수 있을까? 어차피 기업체의 장비가 아닌 이상, 실질적으로 단속하는 건 사실상 불가능하다. 경찰이 돌아다니면서 집집마다 무선공유기를 일일이 검사하지 않는 이상, 개인 소유의 공유기들은 단속하기 힘들다.
- 그렇게 되면, 실제 해킹이 발생할 경우 책임소재가 모두 공유기 관리자에게 있게 될 가능성이 높다. 보안설정이 의무화될 경우, 해킹이 발생했을 때 IP 추적에 의해 공유기가 나왔다면, 거기에 해커가 무단으로 들어온 거든 어쨌든 간에 공유기 보안설정 안해놓은 A가 모든 책임을 지게 될 것이다. 기존에 책임소재가 불분명했던 것이, 책임소재는 확실해진다. 이게 다 보안설정 안한 니 책임이야!
- 그렇다고 WEP 등의 보안절차가 완벽한가 하면, 꼭 그렇지도 않다. 전문적인 해커가 아니라도, AirCrack 같은 프로그램만 돌려도 wep 정도는 누구든 뚫을 수 있다. 제대로 보안설정을 하자면 wep이나 wps에 mac 인증 같은 것도 걸고 이것저것 이중 삼중으로 막아야 한다. 근데 그래도 "해킹이 어려워지는"것이지, "불가능해지는"것은 아니다. 전문적인 해커라면, 이런 것을 무력화하고 해킹을 시도하는 방법 같은 건 얼마든지 존재한다. 설령 당장은 불가능하더라도, 해킹 기술은 날로 진보하며, 언제나 그렇듯 해킹기술과 보안기술은 계속 서로서로 발전하는 관계이다.
- 그러면 보안설정을 제대로 했는데도 불구하고 해킹이 발생한 경우, A는 확실히 책임에서 벗어날 듯 하기는 한데, 확실히는 모르겠다. 일단 의무사항은 제대로 준수를 했으니까.
가치
- 결국 책임을 물을 당사자를 만들기 위한 법일 수도 있다. 그러면 과연 공유기 주인에게 책임을 물려 처벌하는 것이 옳은가, 아니면 선의의 공유기 주인을 보호하는 다른 방법을 추구하는 것이 옳은가?
- 기업을 제외하고, 모든 개인공유기 사용자들이 보안설정을 제대로 다룰 수 있을 거라고 생각하는 것은 오산이다. 그러면 보안설정법을 모르는 사람은, 모르는 것이 죄인가?
- 일단 보안설정을 다들 다룰 줄 안다고 치자. 개인공유기는 어차피 개인 소유이고, 보안 권한도 개인에게 있다. 이것을 국가가 강제하는 것이 바람직한가?
- 이 보안설정도 어차피 100% 안전하다고는 할 수 없다. 앞서 이야기한 건데, 보안설정을 제대로 했음에도 불구하고 해킹사건이 발생했다면, A는 모든 책임에서 벗어날 수 있는가? 만약 그렇다면 이 법안을 개인공유기 소유자를 보호하는 법안이라고 볼 수도 있는가?
- 위에 개인저수지 물을 무단으로 끌어쓰는 옆집 사람에 대한 비유를 들었는데, 그렇다면 개인저수지 주인에게 "왜 개인 소유라고 표시하지 않았는가"라고 따질 수 있는가? 만약 그렇다면 개인 소유 저수지임을 표시할 것을 법적으로 의무화하는 것은 바람직한가?
- 개인저수지 주인이 표시를 하지 않았다고 치자. 선의든 아니든 상관없이, 그렇다면 무단으로 사용하는 것 자체는 법적으로 문제없는 행위인가?
- 무선을 도용한 사람을 처벌할 법적 근거가 부족하다면, 공유기 주인에게 책임 소재를 돌리는 법안 보다는 도용한 사람을 처벌하고 무단 도용을 막기 위한 법안을 먼저 만들어야 하지 않는가?
ps. 공유기 보안설정 의무화 법안인데, 무선랜 법안이라니까 내가 써놓고도 좀 웃기네 -_-;;
- 현재 무선공유기(AP라는 용어를 써야하나, 무선공유기라는 용어가 좀더 대중적이기에 무선공유기라고 하겠다. 사실 둘은 조금 다른 개념이다. 무선공유기의 기능 중 하나가 AP로서의 기능이다.) 중 상당수는 보안설정 없이 아무나 접속할 수 있는 상태로 퍼져있다.
- 무선공유기 역시 하나의 자원으로 판단해야 한다. 무선공유기가 한번에 처리할 수 있는 트래픽은 정해져 있으며, 한 무선공유기에 동시접속할 수 있는 기기의 숫자도 제한되어있다.(채널 개수 한정) 따라서, 허가없이 누군가가 무선 인터넷을 이용하게 된다면, 원래 공유기 주인이 독점해야 할(자기 것이니까) 한정된 자원을 도용하는 것으로 보아야 한다. 모 블로거 분의 '우물' 비유는 이래서 조금 핀트가 어긋나있다. 우물로 비유하려면, 우물물이 한정적이어야 한다. 하지만 저 비유가 나왔을 때 우물물은 계속 재생성되는 무한한 자원 개념으로 이야기했음을 알 수 있다. 조금 더 정확한 비유를 들자면, 논에 물을 대기 위해 만든 개인 소유의 저수지를 예로 들 수 있겠다. 자신의 논에 물을 대기 위해 직접 자기 땅에 저수지를 파서 물을 보관한 사람이 있다. 그렇게 논에 물을 대고 있었는데, 어느날 자신의 논에 물이 평소보다 적게 들어오는 것을 발견하였고, 저수지에 가보니 웬 옆집 사람이 저수지 물을 맘대로 끌어쓰고 있어서 그만큼 자기 논에 물이 들어오지 않는다. 이런 상황이라고 볼 수 있다.
- 이런 경우, 옆집 사람이 끌어쓰는 물의 양이 많아서 주인에게 피해를 줄 정도인가/아닌가에 대한 사실 판단은 이루어질 수 있으나, 그것이 무단으로 끌어쓰는 것 자체가 정당하냐/아니냐의 문제로 환원될 수는 없다.
- 쓰는 양이 많을지 적을지는 쉽게 판단할 수 없다. 어디까지나 쓰는 사람의 양심에 따르는 것이다. 혹은 쓰는 사람도 트래픽을 얼마나 쓸 지 모를 수도 있다. 자신이 쓰는 트래픽 양을 정확하게 알고있는 사람은 그리 많지 않다. 트래픽을 측정하지 않는 이상, 우리는 평소에 얼마만큼의 트래픽을 사용하는지 잘 모른다. 그저 다운로드 사이트나 자료공유 사이트 등을 사용하면 트래픽이 많다 정도로 대충 알고 있을 뿐이다. 즉, 나름 양심있는 도용자(?)라고 "나는 뭐 별거 안했으니 괜찮을 거야!"라고 주장하더라도 실제 트래픽을 측정해보면 생각보다 많을 수 있다.
- 현 법으로 볼 때, 공유기 주인 입장에서 이런 도용자를 고발해서 처벌받게 할 수 있는 실질적인 법적 근거는 별로 없다. 다만 보안설정을 철저히 함으로써 도용을 방지하는 대책을 세울 수 있는 정도이다.
- 현재 나온 법안, 공유기를 보안설정을 완료한 상태로 사용할 것을 의무화하는 것이다. 즉, 보안설정이 제대로 되어있지 않은 상태로 공유기를 쓸 경우, 아무런 법적 보호를 받을 수 없다는 것이다.
- 악의적인 해커가 이 공유기 중 하나로 인터넷에 접속하여 어떤 또다른 망을 해킹할 경우, 해커를 추적하는 것은 사실상 불가능하다. 추적해봐야 공유기가 가지고 있는 IP만 찍히기 때문이다. 예를 들어보면, A라는 사람은 집에 무선공유기를 설치해놓고 쓰고 있었다. 자세한 보안설정은 할 줄 모르고, 별로 필요도 없을 것 같아 하지 않았다. 그런데 어느날 B라는 해커가 A의 무선공유기에 접속하여, 청와대 사이트를 해킹하였다. 그러면 법적 책임은 물론 해커인 B에게 있으나, 로그를 아무리 추적해도 잡히는 것은 A의 무선공유기 뿐이다. 결국 무선공유기를 관리하는 A만 곤란하게 된다. 물론 A가 해킹을 했다는 직접적인 증거는 없기 때문에 책임소재가 불분명해진다. 이럴 경우 실제 법적으로 어떻게 처벌이 되는지는 모르겠다.
- 그럼 이번 법안이 통과되면 저런 해킹에 대해 대비책이 될 수 있을까? 어차피 기업체의 장비가 아닌 이상, 실질적으로 단속하는 건 사실상 불가능하다. 경찰이 돌아다니면서 집집마다 무선공유기를 일일이 검사하지 않는 이상, 개인 소유의 공유기들은 단속하기 힘들다.
- 그렇게 되면, 실제 해킹이 발생할 경우 책임소재가 모두 공유기 관리자에게 있게 될 가능성이 높다. 보안설정이 의무화될 경우, 해킹이 발생했을 때 IP 추적에 의해 공유기가 나왔다면, 거기에 해커가 무단으로 들어온 거든 어쨌든 간에 공유기 보안설정 안해놓은 A가 모든 책임을 지게 될 것이다. 기존에 책임소재가 불분명했던 것이, 책임소재는 확실해진다. 이게 다 보안설정 안한 니 책임이야!
- 그렇다고 WEP 등의 보안절차가 완벽한가 하면, 꼭 그렇지도 않다. 전문적인 해커가 아니라도, AirCrack 같은 프로그램만 돌려도 wep 정도는 누구든 뚫을 수 있다. 제대로 보안설정을 하자면 wep이나 wps에 mac 인증 같은 것도 걸고 이것저것 이중 삼중으로 막아야 한다. 근데 그래도 "해킹이 어려워지는"것이지, "불가능해지는"것은 아니다. 전문적인 해커라면, 이런 것을 무력화하고 해킹을 시도하는 방법 같은 건 얼마든지 존재한다. 설령 당장은 불가능하더라도, 해킹 기술은 날로 진보하며, 언제나 그렇듯 해킹기술과 보안기술은 계속 서로서로 발전하는 관계이다.
- 그러면 보안설정을 제대로 했는데도 불구하고 해킹이 발생한 경우, A는 확실히 책임에서 벗어날 듯 하기는 한데, 확실히는 모르겠다. 일단 의무사항은 제대로 준수를 했으니까.
가치
- 결국 책임을 물을 당사자를 만들기 위한 법일 수도 있다. 그러면 과연 공유기 주인에게 책임을 물려 처벌하는 것이 옳은가, 아니면 선의의 공유기 주인을 보호하는 다른 방법을 추구하는 것이 옳은가?
- 기업을 제외하고, 모든 개인공유기 사용자들이 보안설정을 제대로 다룰 수 있을 거라고 생각하는 것은 오산이다. 그러면 보안설정법을 모르는 사람은, 모르는 것이 죄인가?
- 일단 보안설정을 다들 다룰 줄 안다고 치자. 개인공유기는 어차피 개인 소유이고, 보안 권한도 개인에게 있다. 이것을 국가가 강제하는 것이 바람직한가?
- 이 보안설정도 어차피 100% 안전하다고는 할 수 없다. 앞서 이야기한 건데, 보안설정을 제대로 했음에도 불구하고 해킹사건이 발생했다면, A는 모든 책임에서 벗어날 수 있는가? 만약 그렇다면 이 법안을 개인공유기 소유자를 보호하는 법안이라고 볼 수도 있는가?
- 위에 개인저수지 물을 무단으로 끌어쓰는 옆집 사람에 대한 비유를 들었는데, 그렇다면 개인저수지 주인에게 "왜 개인 소유라고 표시하지 않았는가"라고 따질 수 있는가? 만약 그렇다면 개인 소유 저수지임을 표시할 것을 법적으로 의무화하는 것은 바람직한가?
- 개인저수지 주인이 표시를 하지 않았다고 치자. 선의든 아니든 상관없이, 그렇다면 무단으로 사용하는 것 자체는 법적으로 문제없는 행위인가?
- 무선을 도용한 사람을 처벌할 법적 근거가 부족하다면, 공유기 주인에게 책임 소재를 돌리는 법안 보다는 도용한 사람을 처벌하고 무단 도용을 막기 위한 법안을 먼저 만들어야 하지 않는가?
ps. 공유기 보안설정 의무화 법안인데, 무선랜 법안이라니까 내가 써놓고도 좀 웃기네 -_-;;
# by | 2009/10/30 15:57 | 트랙백 | 덧글(11)
☞ 내 이글루에 이 글과 관련된 글 쓰기 (트랙백 보내기) [도움말]
AP는 Access Point입니다.
또한 WPA 인증의 경우 PreShared Key 방식도 쓸 수 있고, RADIUS 서버와 연동해서 패스워드 동적 변경도 가능하다고 줏어들은 바가 있긴 한데.. 대부분의 가정용 AP(공유기)는 preshared key (PSK) 만 지원하니 팻쓰. 기업 네트웍의 경우 WEP 키를 사용하는 경우라면 한달마다 키를 바꾸고 MAC 인증을 겸한다든가 하죠. 한참전에 기업들이 사둔 액세스 포인트는 오방 비싸니까 버리진 못하고 뭐 그런 것 같은데..
하여튼 공ㅋ감ㅋ 이라든지 밸리등에 달리는 몇몇 뻘댓글을 보니 이 뭐 이 나라에는 실명 공개라든지, 사전 등록 따위 당연하다고 생각하는 인종들이 이리도 많은가 싶은데.. 그냥 내가 떳떳하지 못해서 저런 훌륭한 정책들에 반대하는 것일까! 하는 생각이 막 들어염.
(..아 찔리는거 많은 인생)
자 이제 가상머신 굴려서 도메인 구성하고 RADIUS 인증서버를 구축해 보시져! (..)
- 그렇다고 사전등록제 하라는게 정상적이냐?
= 왜 못해? 그거 아니면 무슨 방법이라도 있어?
와 같은 논쟁도 아니고 맨날 무선랜 월경전파 쓰는게 문제니 아니니 하는 이야기만..
사내 네트워크침해 문제도 그렇지만, 해킹을 위한 전초기지로 쓸수있는지라....