2019년 아이오와 주의 한 카운티 법원에 대한 승인된 보안 평가를 수행한 후 체포된 보안 전문가 2명이 부당 체포 및 명예훼손 혐의로 제기한 소송을 해결하기 위해 60만 달러를 받게 됩니다.
이 사건은 당시 콜로라도에 본사를 둔 보안 회사인 Coalfire Labs에 고용된 침투 테스터 두 명인 Gary DeMercurio와 Justin Wynn이 제기했습니다. 이들은 아이오와주 사법부로부터 '레드팀' 훈련을 수행할 수 있는 서면 승인을 받았는데, 이는 범죄 해커나 강도가 사용하는 기술을 모방한 보안 침해 시도를 의미합니다.
이러한 훈련의 목적은 방어가 격퇴하도록 설계된 실제 공격 유형을 사용하여 기존 방어의 탄력성을 테스트하는 것입니다. 이번 훈련의 교전 규칙은 심각한 피해를 입히지 않는 한 사법부 건물에 대한 "자물쇠 따기"를 포함한 "물리적 공격"을 명시적으로 허용했습니다.
이 행사는 보안 및 법 집행 전문가들을 자극했습니다. 작업의 적법성과 이를 승인한 법적 계약에도 불구하고 DeMercurio와 Wynn은 3급 강도 중범죄 혐의로 체포되어 20시간 동안 감옥에 갇혀 있다가 보석금 $100,000(각각 $50,000)를 내고 석방되었습니다. 혐의는 나중에 경범죄 무단 침입 혐의로 축소되었지만 법원이 위치한 달라스 카운티의 보안관 채드 레너드(Chad Leonard)는 그 남자들이 불법 행위를 했으며 기소되어야 한다고 공개적으로 계속 주장했습니다.
이러한 종류의 사건으로 인해 평판이 나빠지면 보안 전문가의 경력에 치명적일 수 있습니다. 물론, 승인된 보안 평가를 수행했다는 이유로 투옥될 가능성은 그들을 고용한 고객은 물론 모든 침투 테스터의 관심을 끌기에 충분합니다.
Wynn은 성명에서 “이 사건은 누구도 더 안전하게 만들지 못했습니다.”라고 말했습니다. "정부가 실제 취약점을 식별하도록 돕는 것은 체포, 기소, 대중의 불명예로 이어질 수 있다는 사실을 전국의 보안 전문가에게 소름 끼치는 메시지를 보냈습니다. 이는 공공 안전을 향상시키는 것이 아니라 훼손하는 것입니다."
2019년 9월 11일 댈러스 카운티 법원에서 DeMercurio와 Wynn의 약혼은 일상적이었습니다. 자정이 조금 지나서 법원의 옆문이 열려 있는 것을 발견한 후 남자들은 문을 닫고 잠그도록 두었습니다. 그런 다음 그들은 임시 도구를 문 틈새로 밀어넣고 잠금 장치를 작동시켰습니다. 침투 테스터는 진입 후 경보를 울려 당국에 알렸습니다.