부정 접근 금지법의 자세한 내용과 위반 사례에 대해
부정 접근 금지법(정식 명칭 ‘부정 접근 행위의 금지 등에 관한 법률’)은 사이버 범죄를 예방하고, 또한 전기통신에 관한 질서를 유지하는 것을 목적으로 제정된 법률입니다.
스마트폰이 보급되고, 인터넷 위탁자가 증가하는 가운데, 부정 접근 사례도 연간 증가 추세에 있습니다.
이 글에서는 부정 접근 금지법의 자세한 내용과 위반 사례에 대해 설명드리겠습니다.
부정 접근 금지법이란?
부정 접근 금지법은 2000년(헤이세이 12년)에 시행되었으나, 사이버 범죄의 심각화 등의 상황을 받아들여, 2012년(헤이세이 24년)에 개정되었습니다.
이번 개정으로, 피싱 행위와 식별 코드(ID와 비밀번호)의 부정 획득 및 부정 보유가 금지되었고, 부정 접근 행위에 대한 법정형의 상향이 이루어졌습니다. 그 전까지 처벌의 대상이 아니었던 행위가 금지되어, 더욱 실질적인 법률이 되었습니다.
부정 접근 금지법의 목적은 ‘고도 정보 통신 사회의 건전한 발전에 기여하는 것’으로 정해져 있습니다(제1조).
부정 접근 금지법에서 금지하고 있는 행위는 다음과 같습니다.
- 부정 접근 행위(제3조)
- 부정 접근 행위를 조장하는 행위(제5조)
- 타인의 식별 코드를 부정하게 획득·보유하는 행위(제4, 6조)
- 타인의 식별 코드 입력을 부정하게 요구하는 행위(제7조)
참고로, 부정 접근 금지법이나 부정 접근에 의한 피해를 입었을 경우의 대책에 대해서는 아래 기사에서 자세히 설명하고 있습니다.
https://monolith.law/reputation/unauthorized-computer-access[ja]
부정 접근 행위란?
부정 접근 행위란 ‘부정 로그인’과 ‘보안 구멍 공격’의 두 가지로 나눌 수 있습니다.
부정 로그인이란, 타인의 식별 코드(ID와 비밀번호)를 임의로 입력하여, SNS 계정이나 이메일 주소 등에 로그인하는 행위를 말합니다.
보안 구멍 공격이란, 보안 구멍(네트워크에 연결된 컴퓨터에 발생한 보안상의 결함으로, ‘취약점’이라고도 합니다)을 찌르는 공격을 가리킵니다. 공격자는 보안 구멍을 악용하여, 원래 권한이 없는 조작을 실행하거나, 데이터를 도난하거나, 편집 권한이 없는 데이터를 변경, 삭제하거나, 다른 시스템에 침입하거나 공격의 발판으로 사용할 수 있게 됩니다. 이 공격은 컴퓨터 바이러스나 인터넷 웜처럼 자동화되어 있는 경우도 있어, 위탁자도 모르는 사이에 손해를 입거나, 다른 시스템에 감염을 퍼트릴 가능성이 있습니다.
부정 접근 행위를 행한 경우, 3년 이하의 징역 또는 100만 엔 이하의 벌금이 부과됩니다.
부정 접근 행위를 조장하는 행위란?
부정 접근 금지법에서는, 부정 접근 행위뿐만 아니라, 부정 접근 행위를 조장하는 행위도 금지하고 있습니다. 부정 접근 행위를 조장하는 행위란, 타인의 ID나 비밀번호 등의 식별 코드를, 본인의 동의 없이 제3자에게 알리고, 그 계정 등에 무단으로 로그인할 수 있는 상태로 만드는 것을 말합니다.
위반한 경우, 1년 이하의 징역 또는 50만 엔 이하의 벌금이 부과됩니다.
타인의 식별 코드를 부정하게 획득·보유하는 행위란?
타인의 식별 코드를 부정하게 획득하는 행위란 ‘부정 접근 행위를 하기 위해, 타인의 ID나 비밀번호 등을 획득하는 행위’입니다.
또한, 타인의 식별 코드를 부정하게 보유하는 행위란 ‘부정 접근 행위를 하기 위해, 부정하게 획득된 타인의 ID나 비밀번호 등을 보유하는 행위’입니다.
부정 접근 행위를 하지 않았다 해도, 부정 접근 행위에 이르는 행위 자체가 금지되어 있는 것입니다.
어느 쪽의 행위를 했더라도, 1년 이하의 징역 또는 50만 엔 이하의 벌금이 부과됩니다.
타인의 식별 코드 입력을 부정하게 요구하는 행위란 타인의 식별 코드 입력을 부정하게 요구하는 행위란
타인의 식별 코드 입력을 부정하게 요구하는 행위란?
타인의 식별 코드(ID와 비밀번호) 입력을 부정하게 요구하는 행위란, 소위 ‘피싱 행위’입니다. 피싱 행위란, 통신 판매 사이트나 금융 기관 등에 가장하여 메일을 보내고, 진짜 사이트와 매우 비슷한 가짜 사이트에 피해자를 유도하여, ID나 비밀번호, 신용카드 등의 개인 정보를 입력하게 하는 것입니다. 영어에서는 ‘phising’으로 표기되며, ‘낚시질(fishing)’과 ‘정교한 수법(sophisticated)’의 두 단어를 조합하여 만든 신조어입니다.
개인 정보를 입력하게 하지 않았다 해도, 가짜 사이트의 개설 자체가 피싱 행위로 간주되어, 규제의 대상이 됩니다.
피싱 행위를 한 경우, 1년 이하의 징역 또는 50만 엔 이하의 벌금이 부과됩니다.
접근 관리자의 의무
부정 접근 금지법에 따라, 서버 등의 관리자(접근 관리자)는 부정 접근을 방지하기 위한 방어 조치를 취하도록 요구되고 있습니다(제8조).
관리자에게는 ‘식별 코드를 적절하게 관리하는 것’, ‘항상 접근 제어 기능의 유효성을 검증하는 것’, ‘필요에 따라 접근 제어 기능을 고도화하는 것’ 등 부정 접근 행위를 방지하기 위한 조치를 취하는 것이 의무화되어 있습니다. 그러나, 이 세 가지는 노력 의무이므로, 이러한 의무에 위반했다 해도 처벌은 없습니다.
부정 접근 금지법 위반 사례
사이버 범죄 중에서도, 부정 접근 금지법에 해당하는 사례는 증가 추세에 있습니다. PC뿐만 아니라 스마트폰의 보급이 증가하고, 인터넷 뱅킹이나 스마트폰 결제(PayPay 등) 등 인터넷 상에서의 금전 거래가 증가하고 있는 것이 배경으로 여겨집니다.
뉴스에서는 사이버 공격에 의한 개인 정보 유출이나 SNS 계정으로의 부정 로그인 등이 매일 보도되고 있습니다. 그 중에는 큰 손해를 입히는 사례도 있습니다. 부정 접근 금지법에 해당하는 사건에는 어떤 것들이 있는지 알아보겠습니다.
아래에는 구체적인 사건을 소개하겠습니다.
게임 계정의 인수
타인의 스마트폰 게임 계정을 인수한 혐의로, 사이타마현 경찰은 분실물 횡령과 부정 접근 금지법 위반 등의 혐의로 회사원 남성(23)을 체포했습니다.
남성은 피해자가 잊어버린 스마트폰을 가져가 설치된 스마트폰 게임을 실행하고, 자신의 스마트폰에 데이터를 옮겼다는 의심이 있습니다.
Facebook에 대한 부정 로그인
연예인 등의 Facebook에 부정 로그인한 혐의로, 경시청 사이버 범죄 대책과는 회사원(29)을 부정 접근 금지법 위반 혐의로 체포했습니다.
혐의자는 연예인이나 일반인의 Facebook이나 iCloud에 부정 로그인한 의심이 있습니다. 생년월일 등의 정보를 바탕으로 ID와 비밀번호를 추측하여 로그인하고, 저장된 사진을 자신의 PC에 다운로드하고 있었다고 합니다.
혐의자의 PC에는 연예인 본인만이 볼 수 있어야 하는 약 257,000장의 개인 사진 등이 저장되어 있었다고 하며, 이미지뿐만 아니라 전화번호부 등도 마음대로 보고 있었다고 합니다.
경매 사이트에 대한 부정 접근
카나가와현 경찰 사이버 범죄 대책과와 남서서 등은 부정 접근 금지법 위반과 사적 전자기록 부정 제작·공급 혐의로 청소년(19)을 체포했습니다.
체포 혐의는 자택의 PC에서 타인의 ID와 비밀번호를 사용하여 경매 사이트에 부정 로그인하고, 이메일 주소나 배송지를 변경한 것입니다.
청소년은 “ID와 비밀번호는 인터넷 게시판에 올라와 있었다. 50회 이상 부정 로그인했다”고 진술하고 있다고 하며, 청소년이 경매 사이트에서 컴퓨터 부품 등을 부정으로 입수하고 있었다고 보고 조사를 진행하고 있습니다.
근무지의 서버에 대한 부정 침입
나가사키현청의 서버에 여러 동료의 ID와 비밀번호를 무단으로 입력하여 부정으로 침입한 혐의로, 현 직원을 부정 접근 금지법 위반 혐의로 나가사키 지검에 문서 송부했습니다.
현 직원은 동료의 ID와 비밀번호를 사용하여 서버에 침입하고, 각각의 업무 내용 등을 훔쳐 보았다고 합니다. 이 현 직원에 의한 부정 접근은 수만 번에 이르며, 다운로드된 파일은 백만 건 이상에 이르는 것으로 보이지만, 외부로의 정보 유출 등은 확인되지 않았다고 합니다.
부정 접근으로 신용카드 정보 유출
스포츠 용품의 통신 판매 사이트가 부정 접근을 받아, 고객의 신용카드 정보가 유출될 가능성이 있음이 밝혀졌습니다.
해당 사이트의 운영자에 따르면, 해당 사이트를 이용하여 상품을 구매한 고객의 신용카드 정보가 유출되었으며, 그 중 일부 카드 정보가 부정 사용될 가능성이 있다고 합니다. 사이트 운영자는 시스템의 취약점이 공격당하고, 결제용 앱이 변조되었다는 것이 부정 접근의 원인이었다고 설명하고 있습니다.
스마트폰 결제 시스템에 대한 부정 로그인
스마트폰 결제의 부정 접근 문제로, 후쿠오카현 경찰은 남성 2명을 부정 접근 금지법 위반과 사기 혐의로 체포했습니다. 혐의자는 타인 명의의 ID와 비밀번호를 사용하여 스마트폰 결제 시스템에 부정으로 로그인하고, 편의점에서 전자 담배 카트리지 등 190개(95,000엔 상당)를 샀다는 의심이 있습니다.
피해자의 스마트폰 결제에는 원래 5,000엔이 입금되어 있었지만, 또한 남성의 신용카드에서 90,000엔이 입금되어 있었다고 합니다.
이 스마트폰 결제는 이 외에도 많은 부정 접근이나 부정 사용의 피해가 있었으며, 2019년(헤이세이 31년) 7월 말까지 확인된 피해자 수는 약 800명, 피해 총액은 약 3,860만엔에 이른다고 합니다. 그 후, 2019년(헤이세이 31년) 9월에 서비스가 폐지되었습니다.
요약
불법 접근에 의한 피해는 인터넷을 이용하는 개인이나 기업이라면 누구나 받을 가능성이 있습니다. 또한, 그 피해는 SNS에 대한 불법 로그인, 개인 정보 유출, 스마트폰 결제나 신용카드의 불법 사용 등 다양하며, 피해 금액이 매우 큰 경우도 있습니다.
불법 접근 금지법 위반에 의한 피해를 입었을 경우, 형사 고소나 민법에 기초한 손해배상 청구를 할 수 있습니다. 그러나, 양쪽 절차 모두 고도의 전문 지식이 필요하므로, 불법 접근에 강한 변호사에게 상담하는 것이 추천됩니다.
Category: IT
Tag: CybercrimeIT