'악성프로그램 또는 악성코드(malicious code, malware)'는 해킹이나 정보 유출의 수단으로 활용되기도 하나 최근에는 사생활 모니터링, 광고마케팅, 전자금융사기, 공갈 등의 수단으로 그 영역을 넓혀가고 있다.
하지만 현행 우리 정보통신망법은 악성프로그램에 대하여 '정보통신시스템, 데이터 또는 프로그램 등을 훼손·멸실·변경·위조하거나 그 운용을 방해할 수 있는 프로그램'으로만 정의하고 있어 다양한 영역의 악성프로그램을 포섭하지 못하는 문제점이 있다.
예컨대 사생활을 감시하는 것에 이용되는 '스파이웨어'의 경우는, 정보통신시스템, 데이터 또는 프로그램 등을 훼손·멸실·변경·위조하거나 정보통신시스템, 데이터 또는 프로그램 등의 운용을 방해하는 것은 아니어서 악성프로그램으로 포섭시키지 못하고 있다. 피해자의 사생활이나 개인정보 등이 지속 유출됨에도 불구하고 악성프로그램으로 법률을 적용하지 못하고 있다.
또한 부지불식간에 설치되어 원하는 않는 광고를 보여주면서 컴퓨터 자원을 대량 소비하는 '애드웨어'의 경우는, 이를 두고 정보통신시스템, 데이터 또는 프로그램 등의 운용을 방해했다고 하기도 모호한 점이 있어 악성프로그램으로 포섭시키지 못하고 있다.
공학적으로 '악성프로그램'은 1)컴퓨터 동작을 방해하거나 2)민감정보를 수집하거나 3)사적인 컴퓨터 시스템에 접근하는 것을 포함하고 있다(techterms.com 참조). 하지만 우리 정보통신망법의 '악성프로그램'은 1)만을 대상으로 하고 있고 2)와 3)에 대하여는 침묵하고 있어 정보보안 실무와 부합하지 않는 면이 있다.
이로 인한 분쟁도 야기된다. 예컨대 백신업체가 '공학적으로' 악성프로그램으로 분류하여 차단하는 프로그램이 그 개발업체에게는 '법적으로' 문제가 없다고 여겨지고 또한 자신의 영업에 필수적이라면, 당연히 백신업체와 개발업체 사이에 분쟁이 발생할 수밖에 없다.
또한 우리 정보통신망법의 '악성프로그램'은 정보통신시스템, 데이터 또는 프로그램 등의 운용을 방해하는 프로그램을 악성프로그램으로 분류하고 있는데, 이를 자칫 확대 해석하면 전송량을 증가시키는 프로그램이나 자동화 프로그램까지 마구 포섭시킬 수 있는 문제점이 있다.
즉 '정보통신시스템, 데이터 또는 프로그램 등의 운용을 방해하는 프로그램'은 그 의미가 지나치게 불명확하여 코에 걸면 코걸이, 귀에 걸면 귀걸이 현상이 발생하기도 하는바, 위헌적 요소도 가지고 있다고 판단된다. 운용 방해라는 의미를 정확하게 개념정의하고 그 범위를 구체적으로 정해 주는 것이 바람직하다.
한편 악성프로그램이라는 것이 무조건 불필요하고 위법하다고 단정 지을 수도 없다.
때로는 취약점 분석이나 가상공격 테스트, 정보 제공, 정보 공유 등의 좋은 목적으로 활용되기도 하기 때문이다.
프로그램 자체에 대하여 가치판단을 하는 것이 적절한 악성프로그램도 있지만, 사용 중심으로 가치판단을 하는 것이 적절한 악성프로그램도 존재한다. 이러한 점을 이원적으로 고려해 새로운 입법을 하여야 할 것이다.
'악성프로그램'의 개념 정의는 좋은 프로그램과 나쁜 프로그램의 기준을 정하는 것으로서, 정보보안 분야뿐만 아니라 소프트웨어 산업에서도 매우 중요한 업무이다. 시대에 맞지 않고 기술발전을 반영하지 못한 '악성프로그램'의 기준은 인권 보장도 해 주지 못하면서 소프트웨어 산업을 저해시킬 수 있다.
현행 우리 정보통신망법의 '악성프로그램'에 개선의 이유가 충분히 있다는 점은 사실인바, 좀 더 정밀한 개념정의를 새로이 함으로써, 그로 인한 피해발생이나 문제점을 줄여야 할 것이다.
* 법무법인 민후 김경환 대표변호사 작성, 디지털타임스(2014. 7. 20.) 기고.
