정보보안적으로 악성프로그램 또는 맬웨어라는 용어는 있지만, 법적인 의미는 정보통신망법에 정의되어 있는데, 정보통신망법 제48조 제2항이 그것이다.
제48조(정보통신망 침해행위 등의 금지) ① 누구든지 정당한 접근권한 없이 또는 허용된 접근권한을 넘어 정보통신망에 침입하여서는 아니 된다.
② 누구든지 정당한 사유 없이 정보통신시스템, 데이터 또는 프로그램 등을 훼손ㆍ멸실ㆍ변경ㆍ위조하거나 그 운용을 방해할 수 있는 프로그램(이하 "악성프로그램"이라 한다)을 전달 또는 유포하여서는 아니 된다.
③ 누구든지 정보통신망의 안정적 운영을 방해할 목적으로 대량의 신호 또는 데이터를 보내거나 부정한 명령을 처리하도록 하는 등의 방법으로 정보통신망에 장애가 발생하게 하여서는 아니 된다.
위 정의규정에 의하면 악성프로그램은 '정보통신시스템, 데이터 또는 프로그램 등을 훼손, 멸실, 변경, 위조하거나 그 운용을 방해할수 있는 프로그램'을 의미한다. 여기서 핵심은 운용 방해이다.
그간 많은 자동화 프로그램이 정보통신망법 제48조 제2항의 '악성프로그램'에 해당된다는 이유로 무분별적으로 처벌되어 왔으나, 최근 대법원은 이러한 처벌에 브레이크를 걸었다.
2019. 12. 12.이 역사적인 날인데, 대법원은 이날 2017도16520 판결에서 아래와 같이 악성프로그램의 정의를 규정하였다.
위 판결은 필자가 변호한 사건으로서, 이 판결을 만드는데 무려 6년이 넘게 걸렸다. 그간 매크로 프로그램이 곧 악성프로그램인양 다루어졌으나 위 판결 이후 매크로프로그램에 대하여는 전부 무죄가 나왔다. 금년에만 이미 여러 개의 무죄 판결이 선고되었다.
위 악성프로그램과 관려하여 게임핵프로그램이 악성프로그램인지 문제되는데, 대법원은 위 2017도16520 판결과 같은 취지로 단순한 게임핵프로그램은 악성프로그램이라는 취지의 무죄 판결을 금년에 선고하였다. 2019도2862 판결인데, 이 판결 역시 필자가 변호한 사건이다.
이로써 매크로프로그램이나 단순한 게임핵프로그램은 정보통신망법의 악성프로그램이 아니라는 판례가 성립하였는바, 악성프로그램은 엄격하게 따져야 할 것으로 보인다.
한편 악성프로그램은 컴퓨터등장애업무방해죄를 수반하는 경우가 많은데, 이 역시 대법원은 엄격하게 해석하는 경향이 있다. 즉 단순한 유포 만으로는 방해 행위가 될 수 없다고 본다. 관련해서 필자가 변호한 사건에서 무죄 취지의 판결을 받은 사례가 꽤 있다.
결론적으로 악성프로그램은 2019. 12. 12. 이전과 2019. 12. 12. 이후로 구분해야 한다. 그 이전에는 선량한(?) 자동화 프로그램들이 악성프로그램으로 처벌받았으나, 그 이후에는 악성프로그램의 정의가 엄격해지면서 이제는 2017도16520 판결의 판단법에 비추어 따져 보아야 한다.
개인적으로는 2017도16520 판결도 만족스럽지 않다. 부족한 점이 많다고 본다. 앞으로 더 개선해 나갈 계획이고, 그 과정에서 더 정확한 법리가 확립되리라 본다.
* 법무법인 민후 김경환 변호사 작성, 블로그(2020. 11. 26.) 기고.
