해킹 및 컴퓨터바이러스 유포에 대한 처벌

1. 사이버‘범죄’로서의 해킹 및 컴퓨터바이러스 유포

 인터넷의 개방성 및 익명성 등을 악용한 정보시스템의 불법침입·파괴 등의 빈번한 발생은 정보사회를 위협하는 주요 요인이 되고 있다.

 더욱이 전세계가 인터넷을 통하여 네트워크화 됨으로써 해커 등에 의한 불법침입 및 바이러스 유포 등으로 정보시스템에 대한 침해 및 그 피해는 매우 심각한 수준에 이르렀으며, 이에 대한 법적 제재가 불가피하게 되었다.

 이러한 문제는 기존에는 형법상의 구성요건(범죄를 구성하는 각종 요건을 법으로 정해놓은 것을 의미하는 것으로, 헌법이 규정하고 있는 ‘죄형법정주의’의 원칙에 따라 형법 등 법률에서 범죄라고 정해놓지 않으면 범죄가 되지 않는다. 예를 들어, 여성이 남성에게 폭력을 행사하여 강제로 성관계를 가졌다고 하더라도 형법에서 강간죄의 주체를 ‘남성’으로 규정해 놓았기 때문에 형법상 강간죄에 해당하지 않고 강제추행죄 정도에 그치는 것과 같음)을 새롭게 해석함으로써 해결하고자 하였으나, 고도의 전문성과 다양성이 특징인 해킹 및 바이러스 관련 범죄에 대응하는데 많은 한계를 낳았다.

 따라서 1997년과 2001년에 시행된 개정 형법에서는 이러한 해킹 및 바이러스 관련 사이버범죄에 대응할 수 있는 규정들을 신설, 개정하여 처벌이 가능하도록 하였으며,

정보통신망이용촉진및정보보호등에관한법률, 전기통신사업법, 정보통신기반보호법, 통신비밀보호법 등 특별법에 사이버범죄에 관한 조항을 신설하여 법적 규제가 가능하도록 하고 있다.

2. 해킹 및 컴퓨터바이러스의 개념

 해킹(hacking)의 의미는 매우 광범위하지만 일반적으로 타인의 정보시스템에 권한 없이 또는 권한을 넘어 불법적으로 접근하여 데이터를 빼내거나 파괴하는 행위를 말한다.

 즉, 뛰어난 컴퓨터 사용능력을 이용하여 타인의 컴퓨터에 침입, 그 속에 축적되어 있는 각종 정보를 빼내거나 없애는 행위이다.

 해킹의 유형은 정보시스템의 침입, 정보의 절취, 정보의 위·변조 및 삭제, 정보시스템 장애 및 마비 등으로 구분된다.

 컴퓨터바이러스(computer virus)는 정보시스템의 정상적인 작동을 방해할 목적으로 고의로 제작·유포된 악성프로그램을 말한다. 이러한 컴퓨터바이러스는 컴퓨터 프로그램이나 실행 가능한 부분을 변형하여 여기에 자기 자신 또는 자신의 변형을 복사하여 컴퓨터 작동에 피해를 주는 명령어들의 조합을 일컫는 것으로서 컴퓨터 내에 침투하여 자료를 파괴하거나 컴퓨터를 손상시킬 뿐만 아니라 다른 프로그램을 파괴하여 작동할 수 없도록 하는 컴퓨터 프로그램의 한 종류이다.

 컴퓨터바이러스는 그 영향 정도에 따라 양성 및 악성바이러스, 감염 부위에 따라 부트 및 파일 바이러스로 구분한다.

 그 중에서도 특히 형법 및 특별법상 문제가 되는 컴퓨터바이러스는 누군가 고의로 사용자의 목적과 다르게 사용자에게 원하지 않는 결과를 발생시키도록 고안된 프로그램인 악성프로그램(Malicious Program)이며,

컴퓨터 시스템이 온라인상에서 네트워크화되고 인터넷사용자도 급증한 지금 이러한 악성프로그램은 인터넷이나 전자우편 등을 통하여 빠르고 널리 전파·확산되고 있어 한 국가뿐만 아니라 전세계의 정보통신망이 마비될 수도 있다.

3. 해킹 및 컴퓨터바이러스 관련 법규

 1) 정보통신망이용촉진및정보보호등에관한법률

  정보통신망이용촉진및정보보호등에관한법률 제48조(정보통신망 침해행위 등의 금지)에 따르면, 누구든지 정당한 접근권한 없이 또는 허용된 접근권한을 초과하여 정보통신망에 침입하여서는 아니되며(제1항),

누구든지 정당한 사유없이 정보통신시스템, 데이터 또는 프로그램 등을 훼손·멸실·변경·위조 또는 그 운용을 방해할 수 있는 프로그램(악성프로그램)을 전달 또는 유포하여서는 아니된다(제2항).

 또한, 누구든지 정보통신망의 안정적 운영을 방해할 목적으로 대량의 신호 또는 데이터를 보내거나 부정한 명령을 처리하도록 하는 등의 방법으로 정보통신망에 장애를 발생하게 하여서는 아니된다(제3항).

 그럼에도 불구하고 이 규정을 위반하여 악성프로그램을 전달 또는 유포하거나, 정보통신망에 장애를 발생하게 한 자에 대하여는 5년 이하의 징역 또는 5천만원 이하의 벌금에 처한다(제62조).

 또한 누구든지 정당한 접근권한 없이 또는 허용된 접근권한을 초과하여 정보통신망에 침입한 자는 3년 이하의 징역 또는 3천만원 이하의 벌금에 처한다(제63조).

 2) 정보통신기반보호법

  정보통신기반보호법 제12조(주요정보통신기반시설 침해행위 등의 금지)에서는

‘접근권한을 가지지 아니하는 자가 주요정보통신기반시설에 접근하거나 접근권한을 가진 자가 그 권한을 초과하여 저장된 데이터를 조작·파괴·은닉 또는 유출하는 행위’(제1호),

‘주요정보통신기반시설에 대하여 데이터를 파괴하거나 주요정보통신기반시설의 운영을 방해할 목적으로 컴퓨터바이러스·논리폭탄 등의 프로그램을 투입하는 행위’(제2호),

‘주요정보통신기반시설의 운영을 방해할 목적으로 일시에 대량의 신호를 보내거나 부정한 명령을 처리하도록 하는 등의 방법으로 정보처리에 오류를 발생하게 하는 행위’(제3호)

에 대하여 이러한 행위를 금지시키고 있으며,

이를 위반하여 주요정보통신기반시설을 교란·마비 또는 파괴한 자는 10년 이하의 징역 또는 1억원 이하의 벌금에 처한다(제28조제1항).

 3) 전기통신사업법

  전기통신사업법 제53조 제1항 제4호는 “정당한 사유없이 정보통신시스템, 데이터 또는 프로그램 등을 훼손·멸실·변경·위조하거나 그 운용을 방해하는 내용의 전기통신”을 불법통신으로 명시적으로 규정하고 있으며, 전기통신이용자에게 그 행위를 금지시키고 있다.

 아울러 정보통신부장관은 그러한 전기통신에 대하여 정보통신윤리위원회의 심의를 거쳐 전기통신사업자로 하여금 그 취급을 거부·정지 또는 제한하도록 명령권을 행사할 수 있다.

 동법 제71조에 따르면, 이러한 명령을 위반하는 자는 2년 이하의 징역 또는 1억원 이하의 벌금에 처해진다.

 4) 형법

  형법은 해킹·바이러스 관련 규정으로 제141조(공용서류등의 무효, 공용물의 파괴), 제227조의2(공전자기록위작·변작), 제232조의2(사전자기록위작·변작), 제314조(업무방해), 제316조(비밀침해), 제329조(절도), 제347조의2(컴퓨터 등 사용사기), 제366조(재물손괴등) 등을 두고 있다.

① 형법 제141조제1항(공용서류등의 무효)

‘공무소에서 사용하는 서류 기타 물건 또는 전자기록등 특수매체기록을 손상 또는 은닉하거나 기타 방법으로 그 효용을 해한 자’에 대하여 7년 이하의 징역 또는 1천만원 이하의 벌금에 처한다.

② 형법 제227조의2(공전자기록위작·변작)

‘사무처리를 그르치게 할 목적으로 공무원 또는 공무소의 전자기록등 특수매체기록을 위작 또는 변작한 자’에 대하여 10년 이하의 징역에 처한다.

③ 형법 제232조의2(사전자기록위작·변작)

‘사무처리를 그르치게 할 목적으로 권리·의무 또는 사실증명에 관한 타인의 전자기록등 특수매체기록을 위작 또는 변작한 자’에 대하여 5년 이하의 징역 또는 1천만원 이하의 벌금에 처한다.

④ 형법 제314조(업무방해)제2항

‘컴퓨터 등 정보처리장치 또는 전자기록 등 특수매체기록을 손괴하거나 정보처리장치에 허위의 정보 또는 부정한 명령을 입력하거나 기타 방법으로 정보처리에 장애를 발생하게 하여 사람의 업무를 방해한 자’에 대하여 5년 이하의 징역 또는 1천500만원 이하의 벌금에 처한다.

⑤ 형법 제316조(비밀침해)제2항

‘봉함 기타 비밀장치한 사람의 편지, 문서, 도화 또는 전자기록등 특수매체기록을 기술적 수단을 이용하여 그 내용을 알아낸 자’에 대하여 3년 이하의 징역이나 금고 또는 500만원 이하의 벌금에 처한다.

⑥ 형법 제329조(절도)

‘타인의 재물을 절취한 자’에 대하여 6년 이하의 징역 또는 1천만원 이하의 벌금에 처한다.

⑦ 형법 제347조의2(컴퓨터 등 사용사기)

‘컴퓨터 등 정보처리장치에 허위의 정보 또는 부정한 명령을 입력하여 정보처리를 하게 함으로써 재산상의 이익을 취득하거나 제3자로 하여금 취득하게 한 자’에 대하여 10년 이하의 징역 또는 2천만원 이하의 벌금에 처한다.

⑧ 형법 제366조(재물손괴등)

‘타인의 재물, 문서 또는 전자기록등 특수매체기록을 손괴 또는 은닉 기타 방법으로 그 효용을 해한 자’에 대하여 3년 이하의 징역 또는 700만원 이하의 벌금에 처한다.

4. 해킹 및 컴퓨터바이러스 관련 법규의 해석

 1) 데이터 부정조작·변작

  데이터의 입력과정, 데이터의 프로세스 과정, 데이터의 출력과정 등 정당하게 수행되어야 할 컴퓨터 시스템을 운용하는 일련의 과정에서 자기 또는 타인의 이익을 위하여 데이터에 접근, 부정하게 조작하는 일체의 행위를 총칭하여 ‘데이터 부정조작·변작’이라 한다.

 이것은 어떠한 과정에서 부정한 조작이 가해지는가에 따라 일반적으로 입력조작, 프로그램조작, 콘솔조작, 출력조작으로 분류할 수 있다.

 '입력조작'이라 함은 불법적인 목적을 이루기 위해 입력될 데이터를 조작하여 컴퓨터에 각종 부정한 정보를 가감하여 부당한 처리결과를 만들어 내게 하는 행위를 말한다.

 '프로그램 부정조작'이란 소정의 결과를 얻기 위하여 특정한 프로그램을 구성하는 개개의 명령어(코드소스)를 작성, 변경, 삭제하여 작동시키거나 새로운 프로그램을 삽입하여 숨겨둠으로써 자동적으로 부정한 목적의 결과를 달성할 수 있게 하는 것을 말한다.

 '콘솔조작'이라 함은 정보처리과정에서 컴퓨터 시스템 전체를 총괄·조정·운영하는 장치인 콘솔을 조작하여 부정한 정보나 명령어를 삽입하여 프로그램의 지시나 처리될 정보에 대한 기억 정보를 변경시켜 부당한 처리결과를 발생케 하는 행위를 말한다.

 '출력조작'이라 함은 정당하게 입력되어 정당한 프로그램에 따라 출력된 자료를 불법적으로 변조하는 것을 말한다.

 2) 전자기록 등 특수매체기록에 대한 위작·변작

  '전자기록 등 특수매체기록에 대한 위작⋅변작'이라 함은 사무처리를 그르치게 할 목적으로 공무원 또는 공무소의 전자기록(공전자기록), 권리·의무 또는 사실증명에 관한 타인의 전자기록(사전자기록) 등 특수매체기록을 위작 또는 변작하는 행위를 말한다.

 형법상 ‘전자기록 등 특수매체기록’이란 램(RAM)과 같은 전자매체, 플로피 디스크나 하드 디스크, 자기 테이프와 같은 자기매체 뿐만 아니라 CD, LD, DVD 등과 같은 광매체정보처리장치를 위해 개발된 종이 이외의 새로운 기록매체인 특수매체에 저장되어 있는 기록자체인 데이터(정보)를 말한다.

 즉, 전자기록은 전기적·자기적 방식으로 저장된 기록이며, 특수매체는 정보처리장치의 각각의 구성요소들의 일부 또는 별도로 존재하지만 정보처리장치를 통하여 인식되고 있는 것으로서 자체적으로 정보처리장치가 될 수 없고 정보처리장치를 구성하는 장치의 저장소라고 할 수 있다.

 주의할 것은 정보통신망에 의하여 처리·전송되는 정보는 유체물에 고착성이 없어 특수매체에 해당하지 않으므로, 형법의 특별법인 정보통신망이용촉진및정보보호등에관한법률 제48조가 우선적으로 적용된다는 것이다.

 '위작'이라 함은 작성권한 없는 자가 타인의 명의를 도용해서 특수매체기록을 만드는 행위를 의미하고,

‘변작’은 이미 진정하게 성립된 특수매체기록에 권한없이 변경을 가하는 행위를 말한다.

 3) 정보처리장치 또는 특수매체기록 손괴·정보처리장애 업무방해 및 정보통신망 침해행위 등

① 의미

컴퓨터 등 정보처리장치 또는 전자기록 등 특수매체기록을 손괴하거나

정보처리장치에 허위의 정보 또는 부정한 명령을 입력하거나 기타 방법으로 정보처리에 장애를 발생하게 하여 사람의 업무를 방해하는 행위,

정당한 사유없이 정보통신시스템, 데이터 또는 프로그램 등을 훼손·멸실·변경·위조 또는 그 운용을 방해할 수 있는 프로그램(악성프로그램)을 전달 또는 유포하는 행위,

정보통신망의 안정적 운영을 방해할 목적으로 대량의 신호 또는 데이터를 보내거나 부정한 명령을 처리하도록 하는 등의 방법으로 정보통신망에 장애를 발생하게 하는 행위는

형법과 정보통신망이용촉진및정보보호등에관한법률, 정보통신기반보호법에 의하여 처벌하도록 하고 있다.

② 정보처리장치 또는 특수매체기록 손괴·정보처리장애 업무방해

‘컴퓨터 등 정보처리장치’는 단순히 계산기능에 국한하지 않고 일정한 명령어를 통하여 필요한 정보를 도출하는 동시에 정보를 저장하고 입·출력이 가능한 한 시스템을 말한다. 한편 '전자기록 등 특수매체기록‘은 앞서 기술한 바와 같다.

‘정보처리장치 또는 특수매체기록을 손괴’한다는 것은 정보처리장치 또는 특수매체기록 등에 대하여 전부 또는 일부를 직접적·물리적으로 파괴·훼손하거나 기능적 조작으로 저장된 데이터를 삭제, 위조·변조하여 그 이용가능성을 침해하는 행위(추상적 위험범)를 의미한다.

예를 들어 컴퓨터 본체 또는 그 주변기기를 물리적으로 파괴하여 못 쓰게 만드는 행위뿐만 아니라, 바이러스를 유포·설치하여 시스템 작동을 중지시키거나 정보를 파괴 및 위조·변조하는 행위, 네트워크 체제로 운영되는 시스템의 라우터(Router) 또는 허브(HUB) 시설을 고장내어 기능을 마비시키는 등의 행위도 모두 이용가능성을 침해하는 것이라고 할 수 있다.

여기에서 이용가능성을 침해한다는 것은 정보처리장치 또는 정보를 포함한 특수매체기록 등을 완전히 파괴해서 전혀 쓸 수 없게 만들 정도를 말하는 것은 아니고, 중요한 기능을 상실하게 만드는 것을 의미한다. 따라서 기능이 영구적으로 상실되지 않더라도 기능을 복구시키는 것이 상당히 어렵게 되는 경우에는 손괴가 인정된다.

‘특수매체기록의 은닉’이라 함은 특수매체기록을 숨김으로써 이를 발견하는 것이 불가능하게 하거나 매우 곤란하게 만들어 이용가능성을 침해하는 행위를 말한다. 특수매체기록이 반드시 피해자로부터 이탈해야 하는 것은 아니므로, 특수매체기록이 피해자의 지배영역 내에 그대로 머물러 있더라도 파일이름을 변경하는 등의 방법으로 찾기 힘들게 만들어 놓았다면 은닉이 된다.

예를 들어, 백오리피스(Backorrifice)를 시스템에 몰려 숨겨 놓고 해당 컴퓨터의 패스워드 정보, 저장된 파일, 키보드에서 입력되는 내용 등을 피해자가 찾기 힘들게 하는 경우가 이에 해당한다.

‘기타 효용을 해하는 방법’이란 ‘손괴나 은닉 이외의 방법으로 특수매체기록의 이용가능성을 침해하는 행위를 말하는데, 하드웨어나 소프트웨어를 망가지게 하려고 컴퓨터바이러스를 감염시키는 행위도 이에 포함된다.

‘허위의 정보’란 지정된 시스템의 프로그래밍 명령어 체계가 아닌 다른 명령어를 삽입하여 처리케 하는 정보로서, 진실에 반하는 정보를 의미하며, ‘부정한 명령’이란 권한있는 자의 사용권한범위 이탈 명령이나 권한없는 자의 명령을 의미한다.

‘업무를 방해한다’라고 함은 업무의 집행 자체를 방해하는 것은 물론이고 널리 업무의 경영을 저해할 위험이 발생한 것도 포함한다. 여기서 ‘업무’라 함은 ‘사람이 사회적 지위에서 직업 또는 계속적으로 종사하는 사무 또는 사업’을 말하는 것으로서 타인의 위법한 행위에 의한 침해로부터 보호할 가치가 있는 정당한 업무를 말한다.

 따라서 정보처리의 장애는 발생하여야 하지만 컴퓨터를 손괴하는 등 업무가 현실적으로 방해되었을 것을 요하는 것은 아니고 방해할 수 있는 위험을 가진 행위를 하기만 하면 범죄가 성립하는데, 특정 기관의 전산 시스템을 다운시키기 위해서 업무가 종료된 야간에 해킹을 통하여 시스템을 마비시켜 정보처리의 장애가 발생하였지만 업무개시전에 모두 복구되어 그 시스템이 행하여야 할 고유한 업무가 방해되지 않았더라도 업무방해가 성립된다.

③ 정보통신망 침해행위 등

'정보통신망‘이라 함은 전기통신을 하기 위한 기계·기구·선로 기타 전기통신에 필요한 설비를 이용하거나 전기통신설비와 컴퓨터 및 컴퓨터의 이용기술을 활용하여 정보를 수집·가공·저장·검색·송신 또는 수신하는 정보통신체제를 말한다.

한편, ‘정보통신망 침해행위 등’이라 함은 정당한 접근권한 없이 또는 허용된 접근권한을 초과하여 정보통신망에 침입하는 행위, 정당한 사유없이 정보통신시스템, 데이터 또는 프로그램 등을 훼손·멸실·변경·위조 또는 그 운용을 방해할 수 있는 프로그램(악성프로그램)을 전달 또는 유포하는 행위, 정보통신망의 안정적 운영을 방해할 목적으로 대량의 신호 또는 데이터를 보내거나 부정한 명령을 처리하도록 하는 등의 방법으로 정보통신망에 장애를 발생하게 하는 행위 등 정보통신망을 대상으로 공격하여 정보통신시스템 및 정보 등에 피해를 주는 행위를 말한다.

④ 주요정보통신기반시설의 침해행위 등

‘주요정보통신기반시설’이라 함은 중앙행정기관의 장이 소관분야의 정보통신기반시설중

ⅰ) 당해 정보통신기반시설을 관리하는 기관이 수행하는 업무의 국가사회적 중요성,

ⅱ) 당해 중앙행정기관이 수행하는 업무의 정보통신기반시설에 대한 의존도,

ⅲ) 다른 정보통신기반시설과의 상호연계성,

ⅳ) 침해사고가 발생할 경우 국가안전보장과 경제사회에 미치는 피해규모 및 범위,

ⅴ) 침해사고의 발생가능성 또는 그 복구의 용이성 등의 사항을 고려하여 전자적 침해행위로부터의 보호가 필요하다고 인정되어 지정한 정보통신기반시설을 말한다(정보통신기반보호법 제3조).

또한, "정보통신기반시설"이라 함은 국가안전보장·행정·국방·치안·금융·통신·운송·에너지 등의 업무와 관련된 전자적 제어·관리시스템 및 정보통신망을 말하며, 이러한 정보통신기반시설을 대상으로 해킹, 컴퓨터바이러스, 논리·메일폭탄, 서비스거부 또는 고출력 전자기파 등에 의하여 정보통신기반시설을 공격하는 행위를 ‘전자적 침해행위’라고 한다.

한편, ‘주요정보통신기반시설 침해행위 등’이라 함은

ⅰ) 접근권한을 가지지 아니하는 자가 주요정보통신기반시설에 접근하거나 접근권한을 가진 자가 그 권한을 초과하여 저장된 데이터를 조작·파괴·은닉 또는 유출하는 행위,

ⅱ) 주요정보통신기반시설에 대하여 데이터를 파괴하거나 주요정보통신기반시설의 운영을 방해할 목적으로 컴퓨터바이러스·논리폭탄 등의 프로그램을 투입하는 행위,

ⅲ) 주요정보통신기반시설의 운영을 방해할 목적으로 일시에 대량의 신호를 보내거나 부정한 명령을 처리하도록 하는 등의 방법으로 정보처리에 오류를 발생하게 하는 행위를 하여 주요정보통신기반시설을 교란·마비 또는 파괴하는 것을 말한다.

 4) 컴퓨터 등 사용사기

  '컴퓨터 등 사용사기'라 함은 상대방을 기망하는 수단으로 컴퓨터 등 정보처리장치에 허위의 정보 또는 부정한 명령을 입력하거나 권한 없이 정보를 입력·변경하여 정보처리를 하게 하는 방법을 동원하여 재산상의 이익을 취득하거나 제3자로 하여금 취득하게 한 것을 말한다.

 예를 들어, 타인의 신용카드번호 및 비밀보호 등 개인정보를 이용하여 현금을 인출하거나 다른 계좌로 이체하는 행위 등이 있다.

 ‘정보처리’라 함은 정보처리장치가 입력된 허위의 정보나 부정한 명령에 따라 진실에 반하는 결과를 도출하게 만드는 것을 의미하는 것으로 일정하게 지정된 명령계통의 프로그램을 부정하게 변경하거나 조작하여 소정의 정보를 생성케 하는 일련의 과정을 말한다.

* “정보통신윤리위원회, 2004 심의자료집” 참조/재구성