사이버 범죄의 3가지 분류란? 변호사가 각 패턴의 피해 대책을 설명합니다
“사이버 범죄”라는 용어는 일상적으로도 어느 정도 보편화되어 있지만, 국제적으로는 “컴퓨터 기술 및 전자 통신 기술을 악용한 범죄”로 정의되고 있습니다. 소위 “해킹(크래킹)” 등 일부 사이버 범죄는 기업도 피해자가 될 수 있으며, 그런 피해에 노출되었을 경우 어떤 대책을 세워야 하는지 고려해야 합니다.
본 글에서는 사이버 범죄 전반을 국내에서 일반적으로 사용되는 3가지 패턴으로 분류하고, 각 패턴이 어떤 범죄에 해당하는지, 피해를 입었을 경우 어떤 대책이 있는지에 대해 설명합니다. 이 분류가 중요한 이유는,
- 법적 의미에서 “피해자”라고 할 수 없다면, 범죄가 발생했다는 것을 “신고”할 수는 있지만, 피해 신고서나 고소를 통해 경찰에 수사를 요청하는 것 자체가 어렵습니다.
- 민사적으로 대책이 있는 범죄의 경우, 경찰의 수사에 의존하지 않고도, 변호사에게 의뢰하여 민사적인 방법으로 범인을 찾아내고 범인에게 손해배상 청구를 할 수도 있습니다.
- 자신이 피해자가 되는 범죄에서 민사적인 해결책이 없는 경우에는, 경찰의 수사를 촉구하게 됩니다.
즉, “대책”이 패턴별로 다르기 때문입니다.
사이버 범죄의 3가지 분류
위와 같이, 국내에서는 일반적으로 사이버 범죄를 3가지로 분류합니다.
- 컴퓨터 범죄: 정확한 정의는 아래에 설명하겠지만, 한마디로 말하면 기업의 업무를 방해하는 범죄 행위입니다.
- 네트워크 이용 범죄: 인터넷을 악용하여 저지르는 범죄 행위입니다.
- 불법 접근 금지법 위반: 일명 불법 로그인 행위 등입니다.
아래에서 각각에 대해 설명하겠습니다.
컴퓨터 범죄란?
전자계산기 손상 등 업무방해죄란?
형법에 규정된 ‘전자계산기 손상 등 업무방해죄’에 해당하는 행위가 이 유형의 전형입니다.
다른 사람의 업무에 사용하는 전자계산기 또는 그에 사용되는 전자기적 기록을 손상시키거나, 다른 사람의 업무에 사용하는 전자계산기에 거짓 정보 또는 부정한 지시를 주거나, 다른 방법으로 전자계산기가 사용 목적에 맞는 동작을 하지 않게 하거나, 사용 목적에 반하는 동작을 하게 해서 다른 사람의 업무를 방해한 자는 5년 이하의 징역 또는 100만 엔 이하의 벌금에 처한다.
형법 제224조의2
읽기 어려운 문장이지만, 간단히 말하면,
- 업무용 PC나 그 안의 데이터를 손상시키는
- 업무용 PC에 거짓 정보나 원래 예상되지 않는 정보를 보내는
등의 수단으로, 해당 PC에 예상치 못한 동작을 시키고 업무를 방해한 경우에 성립하는 범죄입니다.
이의 전형적인 예는, 보안 구멍을 이용하거나 다른 사람의 계정에 부정 로그인하는 등하여 온라인 은행의 계좌 잔액을 늘리는 행위입니다. 또한, 마찬가지로 보안 구멍을 이용하거나 로그인 정보를 부정하게 얻어서 기업의 웹사이트를 변경하는 행위도 이에 해당합니다. ‘부정 로그인’이라는 행위 자체는 이하에 설명할 ‘부정 접근 금지법 위반’의 유형이지만, 부정 조작이나 변조, 삭제, 데이터의 부정 변경 등의 행위를 포착하는 것이 이 유형의 범죄입니다.
부정 접근과의 차이는?
그리고 이 유형의 범죄는, 반드시 부정 로그인 행위가 개입하지 않아도 성립합니다. 예를 들어 전형적인 것은, 소위 DoS 공격입니다. 대량의 메일을 보내 메일 서버에 장애를 발생시키거나, 웹사이트에 대해 대량의 접근을 하여 웹 서버에 장애를 발생시키는 등의 패턴입니다. 이러한 행위는, 각각의 메일이나 접근만 보면 합법적이지만, 대량으로 이루어짐으로써 서버(PC)에 예상치 못한 동작을 시키고, 해당 기업에 메일을 사용할 수 없거나 웹사이트를 열 수 없게 하는 등의 피해를 주는 것입니다. 따라서, ‘부정 접근 금지법 위반은 아니지만, 전자계산기 손상 등 업무방해죄에 해당한다’라는 것입니다. 또한, 이러한 패턴의 범죄에서는, 사기 업무방해죄도 문제가 됩니다.
경찰에 의한 수사를 촉구하기 위해서는
이러한 행위는, 위에서 언급한 바와 같이 범죄이며, 해당 기업이 피해자가 되는 것이므로, 경찰에 수사를 요청할 수 있습니다. 그러나, 실제로는, 일본의 경찰은 이러한 범죄에 대한 대응이 좋지 않습니다. 이는 기술적인 문제도 있습니다. 예를 들어, 위에서 간단한 DoS 공격에 대해 언급했지만, 실제 공격은 단일 IP 주소에서 100만 건의 메일이나 접근이 이루어지는 간단한 형태가 아니라, 다수의 IP 주소에서, 즉 공격원을 분산시켜 이루어지는 경우가 많습니다. 이러한 공격을 ‘DDoS’라고 합니다.
동일한 IP 주소에서 대량의 메일이나 접근이 이루어진 경우라면, 그것이 동일한 사람에 의한 대량의 접근이며, ‘예상되지 않는 정보’라는 것이 명확합니다. 그러나 IP 주소가 분산되어 있으면, 각각의 메일이나 접근 자체는 합법적이므로, 그것들이 동일한 사람에 의해 이루어진 것이라는 증거가 없는 한, 불법적인 정보 전송이라고 할 수 없게 됩니다. 그렇다면, ‘동일한 사람에 의한 대량의 메일이나 접근이다’라는 것을 어떻게 엄격한 형사 재판에서 입증할 수 있을까요. 이것은 확실히 경찰이나 검찰에게 고민거리입니다.
또한, 형사 재판에서는 ‘범죄에 해당하는 통신(예를 들어 위의 예에서 말하는 대량의 메일 전송 등)이 용의자가 소유한 PC에서 이루어졌다’는 것만으로는 유죄 판결을 얻을 수 없습니다. 형사 사건에서 요구되는 것은 ‘어느 PC에서’가 아니라 ‘누구의 손에 의해’라는 수준의 사실 인정입니다. 실제로 형사 재판의 판결에서는 이 부분, 즉, ‘범죄 행위는 확실히 용의자의 PC에서 이루어졌지만, 정말로 용의자 자신의 손에 의해 이루어진 것인가’라는 부분의 심사를 신중하게 진행하는 경우가 많습니다. 이러한 입증의 장벽은, 물론 ‘무고한 사람을 보호하기 위해’ 중요하지만, 경찰이나 검찰이 사이버 범죄 수사를 망설이게 하는 원인이 되고 있다고 생각됩니다.
그러나, 사건 발생 후 짧은 시간 내에 서버 로그 등을 세밀하게 분석하면 ‘동일한 사람에 의한 가능성이 매우 높다’ ‘그리고 그것은 확실히 용의자 본인에 의한 것이다’라는 증거를 찾아낼 수 있는 경우도 있습니다. IT 기술을 이용한 조사와, 그 조사에서 알게 된 것을 법적으로 유의미한 자료로 만드는 법적 분석. 이 두 가지가 결합되어 있으면, 경찰에 수사를 촉구할 수 있는 경우도 있다고 할 수 있습니다.
민사상의 해결은 어렵다
경찰에 의존하지 않아도 민사적인 해결책이 있다면 좋겠지만, 이 유형의 범죄에 대해서는 민사적인 대책이 부족하다는 것이 사실입니다.
예를 들어, 대량의 메일이 보내진 경우, 메일(내부의 메일 헤더)에는 발신원의 IP 주소가 기록되어 있으므로, 해당 IP 주소를 사용하고 있는 계약자의 주소나 성명을, 프로바이더에게 공개하도록 요구하게 됩니다. 그러나, 일본의 민사법상, 이 공개를 법적으로 청구할 권리는 마련되어 있지 않습니다. 이하에 설명할 인터넷 상의 명예훼손 피해 등의 경우, 프로바이더 책임 제한법상의 발신자 정보 공개 청구권을 사용할 수 있는데, 간단히 말하면, 이 공개 청구권은,
불특정 다수가 보는 것을 목적으로 한 게시물을 게시하기 위한 통신(전형적으로 불특정 다수에게 공개되는 인터넷 게시판에 대한 명예훼손 글 게시를 위한 통신)
만을 대상으로 인정되고 있습니다.
실제로 고도의 사이버 범죄 현장에서, 경찰에 수사를 촉구하기 위해서는, 소송을 제기하는 경우보다 더 상세한 보고서 등이 필요하게 되는 경우가 많습니다. 또한, 경찰에 첫 접촉부터 실제 수사나 체포까지 1년 등의 기간이 필요한 경우도 많습니다. 반대로 민사상의 해결이 더 적은 노력과 시간을 들이지 않고 간편하다는 경우도 있지만, 이 패턴의 범죄는 원칙적으로 민사상의 해결이 불가능하거나 매우 어렵습니다. 범인을 특정할 수 있다면, 해당 범죄 행위에 의한 피해, 예를 들어 웹 서버에 장애가 발생한 것에 따른 피해에 대해 손해배상을 청구할 수 있지만, 그러한 특정 수단이 마련되어 있지 않다는 형태입니다.
https://monolith.law/corporate/denial-of-service-attack-dos[ja]
네트워크 이용 범죄
인터넷 상의 비방 중상 피해
위에서 언급한 컴퓨터 범죄 외에도, PC나 네트워크를 수단으로 한 범죄 행위가 있습니다. 예를 들어, 인터넷 상에서의 소위 비방 중상은, 데이터를 손상하거나, 원래 예상되지 않는 정보를 보내거나, PC에 예상 외의 동작을 시키는 것은 아니지만, 인터넷 네트워크를 이용하여 이루어지는 것입니다.
비방 중상에 해당하는 게시물은,
- 형사적으로도 불법이며, 민사적으로도 불법인 것 (전형적인 예는 명예훼손)
- 형사적으로는 불법이 아니지만, 민사적으로는 불법인 것 (전형적으로는 프라이버시 침해나 초상권 침해)
으로 분류됩니다. 형사적으로도 불법인 경우, 민사적인 수단으로, 프로바이더 책임 제한법(Japanese Provider Liability Limitation Act) 상의 발신자 정보 공개 요청을 이용하여 게시자를 특정하려고 하거나, 경찰에 수사를 촉구하여 게시자를 체포 등하게 할 수도 있습니다.
그러나, 내용에 따라 다르지만, 경찰은 소위 ‘민사 불개입’이라는 태도로, 이러한 게시물에 대해 그다지 적극적인 수사를 하지 않는 것이 현실입니다. 또한, 프라이버시 침해나 초상권 침해는 형법 상의 범죄가 아니므로, 민사적인 해결이 필수입니다.
https://monolith.law/practices/reputation[ja]
이메일 등 일대일 통신에 의한 피해
어려운 것은, 이메일이나 트위터의 DM 등, 일대일의 통신 수단을 이용하여 이루어지는 부적절한 메시지 등의 전송 행위입니다. 예를 들면, 협박죄나 강요죄에 해당하는 문구의 이메일이 전형적인 예입니다. 프로바이더 책임 제한법 상의 발신자 정보 공개 요청은, 위에서 언급한 것처럼,
불특정 다수가 보는 게시물을 작성하기 위한 통신 (전형적으로는, 불특정 다수에게 공개되어 있는 인터넷 게시판에 비방 중상 글을 게시하기 위한 통신)
의 경우에만 이용할 수 있습니다. 따라서 이러한 통신에 대해서는, 원칙적으로 민사적인 해결책이 마련되어 있지 않으며, 경찰에 의한 수사를 기대하는 것밖에 없습니다. 그러나, 인터넷 상의 게시판 사이트 등에 게시된 것이 명예훼손에 해당하는 내용이라 할지라도, 일대일의 통신 수단이 이용되는 경우, 명예훼손죄는 성립하지 않습니다. 간단히 말하면, 명예훼손죄는, 불특정 또는 다수에 대해 이루어진 행위에 대해서만 성립하는 것입니다. 일대일의 통신 수단에서는, 명예훼손은 원칙적으로 성립하지 않습니다. 이러한 문제에 대해서는, 별도의 기사에서 자세히 설명하고 있습니다.
https://monolith.law/reputation/email-sender-identification[ja]
음란 이미지나 불법 사이트에 의한 피해
또한, 피해자가 없거나, 실제로 손해를 입는 기업이 피해자가 되지 않는 범죄도, 이러한 유형에 포함됩니다. 예를 들면,
- 소위 성인 사이트 등에서의 무수정 이미지나 동영상의 게시 (음란 그림의 공개 전시)
- 불법 카지노 사이트 등의 홍보
- 브랜드 제품을 판매한다고 주장하면서 실제로는 상품을 배송하지 않는 사기 사이트
와 같은 패턴입니다.
예를 들어, 회사 내의 여성 탈의실에서 몰래 촬영이 이루어지고, 그 촬영 이미지가 인터넷 상에 게시되어 있는 경우, 그 이미지는 명백히 해당 피사체 여성의 프라이버시 침해(또는 초상권 침해) 등에 해당하는 것이지만, 위에서 언급한 것처럼 프라이버시 침해(또는 초상권 침해)는 범죄가 아니며, 몰래 촬영 행위 자체는 범죄이지만, 몰래 촬영으로 촬영된 사진의 게시가 바로 범죄가 되는 것은 아니므로, 경찰에 어떻게 수사를 요청할지 어려운 문제가 됩니다.
또한, 불법 카지노 사이트나 사기 사이트의 존재로 인해, 자사의 매출이 감소하거나, 자사의 신뢰가 하락하는 경우라도, 위에서 언급한 것처럼 이러한 행위는, 특정 피해자가 없지만 사회를 위해 범죄로 간주되는 것 (전형적으로는 과속 위반이나 약물 규제 등과 동질)이거나, 직접적인 피해자 (예를 들어 해당 사기 사이트에 돈을 지불한 소비자)만을 피해자로 간주하는 것이므로, 기업이 피해를 호소해도, 결국 피해자가 아닌 제3자에 의한 신고의 성격이 됩니다. 또한, ‘피해자’가 아닌 이상, 발신자 정보 공개 요청 등에 의한 특정은, 원칙적으로 고려할 수 없습니다.
그러나, 가짜 브랜드 제품의 판매 등, 기업이 가지고 있는 지적 재산권 (상표권, 저작권 등)을 침해하는 행위라면, 기업은 ‘피해자’로서 경찰의 수사를 촉구하거나, 또는 민사적인 수단으로 판매자의 특정을 목표로 할 수 있습니다.
부정 접근 금지법 위반
부정 접근 금지법이 금지하는 행위란
마지막으로, 부정 접근 금지법에 의해 금지되는 행위입니다. 부정 접근 금지법은,
- 부정 접근 행위
- 부정 접근 조장 행위
- 부정 획득 등 행위
를 금지하고 있습니다.
이 중, 첫 번째인 부정 접근 행위에는 크게,
- 가장 행위: 타인의 ID나 비밀번호 등을 입력하여 무단으로 그 사람으로 로그인하는 행위
- 보안 구멍 공격 행위: 보안 구멍을 악용하여, ID나 비밀번호 등의 입력 없이 타인으로 로그인하는 행위
의 2가지 유형이 있습니다.
두 번째, 부정 접근 조장 행위란 타인의 계정 정보(ID, 비밀번호 등)를 무단으로 다른 사람에게 알리거나 판매하는 행위입니다.
마지막으로 세 번째, 부정 획득 등 행위란, 타인의 계정을, 예를 들어 일명 피싱 사이트 등의 수단으로 입력하게 하거나, 그런 방법으로 부정하게 획득한 계정 정보를 보관하는 행위입니다.
부정 접근 금지법에 대해서는, 아래 기사에서 자세히 설명하고 있습니다.
https://monolith.law/reputation/unauthorized-computer-access[ja]
경찰에 의한 해결
부정 접근의 피해를 입었을 경우에도, 경찰에게 수사를 촉구해야 합니다. 그러나, 기술적으로 매우 고도의 문제가 되는 경우가 많으며, 위에서 언급한 컴퓨터 범죄의 경우와 마찬가지로, IT와 법률의 양면의 지식과 노하우를 가진 사람이 보고서 등을 작성하지 않으면, 경찰에 의한 수사가 실제로는 잘 이루어지지 않는 경우도 적지 않습니다.
또한, 범인을 특정할 수 있다면, 해당 범인에 대한 손해배상 청구는 가능하지만, 민사적인 수단으로 범인을 특정하는 것이 매우 어려운 것도, 위에서 언급한 컴퓨터 범죄의 경우와 마찬가지입니다.
Category: IT
Tag: CybercrimeIT