정보통신망법에는 여러 가지 해킹 유형에 따른 처벌 규정을 두고 있는데, 이를 소개하면 아래와 같다.
제48조(정보통신망 침해행위 등의 금지) ① 누구든지 정당한 접근권한 없이 또는 허용된 접근권한을 넘어 정보통신망에 침입하여서는 아니 된다.
② 누구든지 정당한 사유 없이 정보통신시스템, 데이터 또는 프로그램 등을 훼손ㆍ멸실ㆍ변경ㆍ위조하거나 그 운용을 방해할 수 있는 프로그램(이하 “악성프로그램”이라 한다)을 전달 또는 유포하여서는 아니 된다.
③ 누구든지 정보통신망의 안정적 운영을 방해할 목적으로 대량의 신호 또는 데이터를 보내거나 부정한 명령을 처리하도록 하는 등의 방법으로 정보통신망에 장애가 발생하게 하여서는 아니 된다.
제1항은 접근권한 없는 경우나 초월한 경우를 처벌하는 조문이고, 제2항은 악성프로그램의 전달 또는 유포에 대하여 처벌하는 조문이며, 제3항은 DDos등 대량의 데이터를 보내는 경우를 처벌하는 조문이다.
이 중에서 악성프로그램은 제2항에서 처벌하는데, 게임핵프로그램이나 매코르프로그램이 모두 악성프로그램이 돼는 것은 아니고 이 중에서 제48조 제2항에 포섭된 것만 악성프로그램으로 분류한다.
일단 악성프로그램은 처벌수위가 높기 때문에 구속되는 경우도 많고, 실형이 나오는 경우가 많기 때문에 주의해야 한다.
이와 관련해서 최근인 2019. 12. 12. 대법원은 악성프로그램의 판단 방법을 제시한 바 있는데, 이제는 이 판례를 기준으로 악성프로그램 여부를 따진다. (이 판결은 무죄 판결인데, 이 때 변호사가 바로 필자이다)
대법원 2019. 12. 12. 선고 2017도16520 판결
구 정보통신망 이용촉진 및 정보보호 등에 관한 법률(2016. 3. 22. 법률 제14080호로 개정되기 전의 것) 제71조 제9호 및 제48조 제2항 위반죄는 정보통신시스템, 데이터 또는 프로그램 등(이하 ‘정보통신시스템 등’이라 한다)을 훼손·멸실·변경·위조하거나 그 운용을 방해할 수 있는 프로그램(이하 ‘악성프로그램’이라 한다)이 정보통신시스템 등에 미치는 영향을 고려하여 악성프로그램을 전달 또는 유포하는 행위만으로 범죄 성립을 인정하고, 그로 인하여 정보통신시스템 등의 훼손·멸실·변경·위조 또는 그 운용을 방해하는 결과가 발생할 것을 요하지 않는다. 이러한 ‘악성프로그램’에 해당하는지 여부는 프로그램 자체를 기준으로 하되, 그 사용용도 및 기술적 구성, 작동 방식, 정보통신시스템 등에 미치는 영향, 프로그램 설치에 대한 운용자의 동의 여부 등을 종합적으로
고려하여 판단하여야 한다.
위 판결에서 몇 가지 중요한 내용을 뽑으면 아래와 같다.
1) 원래 악성프로그램은 훼손. 멸실, 변경, 위조, 운용방해의 행위 태양이 있었는데, 그 행위 태양을 가리지 않고 판단기준을 제시하고 있다. 훼손이나 멸실, 변경, 위조는 그 내용이 대충 알 수 있는데, 운용방해가 불분명한 면이 있었고, 지금까지 실무적으로는 운용방해로 대부분 처벌되었다. 이 운용방해 부분이 모호하기 때문에 위헌이라는 내용으로 현재 헌법소원이 진행중이다.
2) 악성프로그램의 경우, 전달 또는 유포만으로 처벌이 되는 것이지, 실제 그 악성프로그램을 사용해서 훼손, 멸실, 변경, 위조, 운용방해의 결과가 발생할 것을 요하지 않는다. 이것은 구성요건의 해석상 당연하다. 문제는 이게 아니고, 악성프로그램 자체는 그 기능이 훼손, 멸실, 변경, 위조, 운용방해를 할 수 있어야 한다. 이는 구별해야 이해해야 한다.
3) ‘악성프로그램’에 해당하는지 여부는 프로그램 자체를 기준으로 하되, 그 사용용도 및 기술적 구성, 작동 방식, 정보통신시스템 등에 미치는 영향, 프로그램 설치에 대한 운용자의 동의 여부 등을 종합적으로 고려하여 판단하여야 한다. 중요한 말이긴 한데 간단했던 내용을 복잡하게 한 게 아닌가 하는 생각이 든다.
현재는 위 기준에 따라서 악성프로그램인지 따지고 있다. 따라서 게임핵프로그램인지, 매크로프로그램인지 등이 중요한 게 아니라 위 기준에 부합하는지 여부가 더 중요하다고 생각하면 된다.
* 법무법인 민후 김경환 대표변호사 작성, 블로그(2021. 2. 25.) 기고.