독일 율리히(Julich) 지방법원은 최근 제3자 컴퓨터 시스템에 무단으로 접근하고 데이터를 염탐한 혐의로 프로그래머가 독일 형법(StGB)의 소위 해킹 조항 202a를 위반한 혐의로 처벌받았다는 결론을 내린 최신 판결을 발표 했습니다 . 3,000유로(약 23,500위안)의 벌금과 모든 법적 비용이 부담됩니다.
2021년 6월, Hendrik H.라는 연구원은 IT 서비스 회사 Modern Solution GmbH 고객의 소프트웨어 문제를 해결하던 중 Modern Solution의 코드가 MySQL을 통해 MariaDB 데이터베이스 서버에 연결된 것을 발견했습니다. 원격 서버에 접속하기 위한 비밀번호는 프로그램 파일 MSConnect.exe에 일반 텍스트로 저장되어 있으며, 간단한 텍스트 편집기를 사용하는 사람이라면 누구나 파일을 열어 내용을 보고 암호화되지 않은 하드코딩된 비밀번호를 찾을 수 있습니다.
누구나 쉽게 사용할 수 있는 비밀번호 덕분에 누구나 원격 서버에 로그인하여 Modern Solution 고객의 데이터에 접근할 수 있고 데이터베이스 서버에 저장된 모든 공급업체 고객의 데이터에도 접근할 수 있습니다. 전반적으로 데이터베이스 침해로 인해 이름, 이메일 주소, 전화번호, 은행 정보, 비밀번호, 대화 및 통화 기록을 포함하여 약 700,000개의 고객 기록이 노출되었습니다.
프로그래머는 취약점을 발견한 뒤 기술 블로거인 마크 스타이어(Mark Steier)의 도움을 받아 관련 회사에 연락했고, 마크 스타이어는 보안 취약점을 수정한 후 경찰에 신고해 프로그래머에게 책임을 물었습니다. 2021년 9월, 모던 솔루션이 헨드릭 H.를 내부 정보를 통해 비밀번호를 획득했다고 비난하고 경쟁자라고 주장하자 독일 경찰은 헨드릭 H.의 컴퓨터를 압수했다.
2023년 6월 독일 Jülich 지방 법원은 Modern Solution 소프트웨어가 제대로 보호되지 않았다는 이유로 Hendrik H의 소송을 지지했습니다. 그러나 아헨 지방법원은 율리히 지방법원에 사건을 다시 심리하라고 명령했고, 원래 판결은 뒤집혔다. 2024년 1월 17일, Jülich 지방 법원은 마침내 Hendrik H.에게 벌금을 선고하고 그에게 법적 비용을 지불하라고 명령했습니다.
이번 판결은 수많은 네트워크 보안 전문가와 연구자들 사이에서 논란을 불러일으킬 수밖에 없었다. Steier는 판결이 근본적으로 잘못되었다고 게시 했습니다. "거의 일반 텍스트 형식으로 유지되는 비밀번호는 202조에서 요구하는 '특별 보안'을 구성하지 않습니다. 판사가 이를 판단할 수 없다는 것은 이해할 수 있지만 이 문제에 대해 전문가의 의견을 들어야 합니다. 불행히도, 그런 일은 일어나지 않았어.”
그러나 이번 판결은 아직 법적 구속력이 있는 것은 아니다. 피고인의 변호인은 법원이 유죄 판결을 내리더라도 그의 의뢰인이 공익을 위해 행동했다고 주장했습니다. 피고인 프로그래머는 1월 19일 판결에 항소하겠다고 발표했습니다.